Todos los correos electrónicos de la última tendencia del spam tratan el mismo tema y empiezan más o menos así: "Llevo un tiempo observándote porque te he hackeado a través de un virus troyano colocado en un anuncio de una página web porno".

El atacante afirma conocer las contraseñas de la víctima, tener pruebas de que esta ha entrado en páginas web pornográficas y, quizás incluso, imágenes de su cámara web.

El correo electrónico finaliza con una exigencia de pago en bitcoins. Si la víctima no paga, el hacker enviará las pruebas que afirma tener a la lista de contactos del sujeto (amigos, familiares, compañeros de trabajo, etc.), a la que el atacante también afirma haber podido acceder.

Este tipo de ciberataque se conoce como sextorsión, y apareció como nuevo tipo de delito cibernético hace aproximadamente un año. En este tiempo se ha extendido rápidamente porque simplifica de una manera drástica el proceso de ganar dinero a través del spam (correos electrónicos no deseados).

Sin embargo, las técnicas bajo las que funciona y las cifras que la hacen efectiva se conocen poco. A los expertos en ciberseguridad les encantaría tener más información para poder estimar cuánto dinero ganan los spamers con la sextorsión y, en consecuencia, lo extendida que podría llegar.

Eso es justo lo que ha hecho la investigadora de la compañía de ciberseguridad GoSecure Masarah Paquet-Clouston y sus colegas del Instituto de Tecnología de Austria. El equipo ha estudiado un gran conjunto de datos de correos electrónicos de sextorsión para comprender mejor cómo funciona este tipo de estafa. Su preocupante conclusión es que se trata de un fenómeno lucrativo y que es probable que se extienda todavía más.

El equipo sostiene que los correos electrónicos de sextorsión que exigen el pago en criptomonedas aparecieron por primera vez en 2018. Los estafadores envían sus correos electrónicos a través de botnets, como Necurs o Cutwail. Se trata de redes globales de ordenadores infectados con malware que envían correos no deseados a demanda.

Este servicio se ofrece de forma común en la red oscura (dark net). Varios investigadores han demostrado que los spammers pueden pagar a los propietarios de estas botnets entre 90 euros y 450 euros por enviar un millón de correos electrónicos no deseados. Incluso pueden alquilar botnets por unos 9.000 euros al mes, lo que les permite enviar 100 millones de mensajes de spam.

El spam convencional dirige a las personas a páginas web que venden productos de dudosa calidad, como kits de alargamiento de pene, ofertas de pérdida de peso, etcétera. Estas páginas tienen unos procesos concretos para adquirir, almacenar y enviar los productos y una manera de realizar el pago a través de un banco dispuesto a aceptar o ignorar esta práctica.

Toda esta estructura genera un gran coste, pero los spammers esperan superarlo con los ingresos. En 2008, un grupo de expertos en ciberdelitos se infiltró en una botnet durante 26 días y controló a los spammers mientras enviaban 350 millones de correos electrónicos sobre un producto farmacéutico. El resultado fue de 28 ventas.

Esto les generó unos ingresos de 2.461 euros, lo que supone un beneficio de tan solo el 0,00001 %. Sin embargo, los expertos concluyeron que si usaran botnets adicionales, los spammers podrían generar alrededor de 8.558 euros diarios, lo que sumaría hasta 3,15 millones de euros al año. No parece un mal retorno.

La sextorsión tiene el potencial de ser mucho más rentable, según Paquet-Clouston y sus compañeros. Esto se deben a que no requiere que los spammers alojen ningún tipo de página web de comercio electrónico, ni que tengan, almacenen y envíen productos de ningún tipo. Además, los pagos en criptomonedas son más simples que los bancarios y no requieren la participación de un banco tan abierto para esta actividad.

Los investigadores primero utilizaron un servicio de filtrado de correos electrónicos alojado en la nube, de la empresa Excello. Con él reunieron una base de datos de correos electrónicos de sextorsión enviados durante 2018 y 2019.

Seleccionaron los correos electrónicos clasificados como spam que mencionaban el término bitcoin y provenían de una dirección IP conocida por pertenecer a una botnet. Este servicio había evitado que todos estos correos electrónicos llegaran a sus destinatarios. En total, se creó una base de datos de 4,3 millones de correos electrónicos de sextorsión en varios idiomas.

Luego, el equipo utilizó distintas técnicas de minería de datos para estudiar ese tipo de correos electrónicos con más detalle, por ejemplo, agrupando mensajes que contenían amenazas similares o que usaban las mismas direcciones de pago de Bitcoin. Finalmente, Paquet-Clouston y su grupo estudiaron los diferentes tipos de amenazas, estrategias y cantidades de dinero en los correos electrónicos y examinaron las cuentas de Bitcoin para ver qué sucedió con los pagos.

Los resultados son muy interesantes. Paquet-Clouston y su equipo aseguran que los estafadores de sextorsión usan diferentes cantidades de dinero en función del idioma. Su investigación detalla: "En general, los spammers piden cantidades más altas para los spams enviados en inglés, esloveno y coreano y cantidades más bajas para los spams enviados en polaco, italiano y español".

Curiosamente, los estafadores no cobran más por los correos electrónicos que contienen la contraseña o el número de teléfono de la víctima. "Esto es sorprendente dado que estos elementos adicionales podrían hacer que la amenaza resulte más convincente", destacan los investigadores. Y señalan que la mayoría de estos datos personales se obtienen de la violación de seguridad de las bases de datos disponibles públicamente. Así que, claramente, hay poco o ningún hackeo involucrado.

Además, los estafadores no monitorizan el éxito de sus diferentes estrategias. Paquet-Clouston y su equipo se dieron cuenta de esto al ver que muchos correos electrónicos de sextorsión en diferentes idiomas exigen el pago a la misma dirección de Bitcoin. Por lo tanto, los estafadores no pueden determinar qué campaña genera cada pago.

El equipo también ha analizado las cuentas de Bitcoin en las que se recibieron los pagos. Aunque son anónimas, las transacciones en sí son completamente transparentes. La investigación continúa: "Al filtrar las transacciones no relacionadas, llegamos a la conclusión de que este sistema de sextorsión generó unos ingresos mínimos de  1.171.677 euros y máximos de 1.218.203 euros en un período de 11 meses".

La mayoría de los pagos parecen estar vinculados a un subconjunto de campañas de sextorsión. El texto añade: "Nuestro análisis indica que una gran mayoría de los flujos de ingresos generados por spam de sextorsión se pueden atribuir a una sola entidad del mundo real".

Eso no supone que todas las campañas fueron realizadas por el mismo individuo. "Es más probable que las infraestructuras de botnets, que pueden ser alquiladas por spammers, estén diseñadas con características financieras que gestionan la creación de direcciones de Bitcoin, y posiblemente manejan los flujos de ingresos dentro del ecosistema de Bitcoin", sostiene el equipo.

Se trata de un trabajo interesante que ofrece una visión única de una nueva forma de ciberdelito que está arrasando el mundo. Y los investigadores creen que es probable que vaya a más. Su investigación concluye: "Llegamos a la conclusión de que el envío de spams de sextorsión es un negocio lucrativo y que los spammers seguirán enviando correos masivos que intentan extorsionar el dinero a través de las criptomonedas. Es probable que otros spammers desarrollen otros esquemas, distintos de la sextorsión, pero mediante criptomonedas, lo que permitirá que este sector prospere".

Es una advertencia clara para la gente común y para la comunidad de ciberseguridad en general.

Ref: arxiv.org/abs/1908.01051: Spams meet Cryptocurrencies: Sextortion in the Bitcoin Ecosystem