«Los aficionados hackean sistemas, los profesionales hackean personas.»
¿En qué consisten los ciberataques de extorsión?
Lo más habitual es que recibamos un e-mail enviado a nosotros mismos desde nuestra propia cuenta de correo o bien desde una dirección de correo electrónico desconocida. En este e-mail el ciberdelincuente nos alerta de que ha tenido acceso a nuestros dispositivos y que, por tanto, tiene tanto información confidencial, como todas nuestras contraseñas.
Tras llamar la atención a través de esta comunicación tan perturbadora, nos exige pagar con urgencia una cantidad determinada mediante transferencia a una cartera de criptomonedas (es decir, cuenta de monedas virtuales difíciles de rastrear, como puede ser bitcoin).
Y seguida a esta petición nos lanza la amenaza de que si no lo hacemos, hará pública toda nuestra información y contraseñas, para que otros estafadores la puedan utilizar. Por lo que solo nos deja la opción de elegir entre truco o trato.
¿Cómo podemos evitar esto?
- Regla de oro, desconfiar de todo: Aún en el caso de que fuera posible, ante todo debemos desconfiar y no entrar en pánico. Dado que estas comunicaciones son más habituales de lo que podemos llegar a pensar y en la mayoría de casos se trata de campañas de ciberataque totalmente aleatorias. Las lanzan a un gran número de usuarios a nivel internacional, hasta conseguir que un porcentaje de personas se asusten y accedan a pagar.
- Realizar una revisión técnica de los dispositivos: Esto podemos hacerlo haciendo uso de programas antivirus, que permitan rastrear posibles accesos no autorizados al ordenador o móvil e instalaciones de programas o aplicaciones maliciosas. Y en el caso de contraseñas comprometidas, os recomendamos utilizar https://haveibeenpwned.com/ que es una web que permite comprobar si tenemos cuentas o perfiles accesibles por internet, en los cuales la contraseña haya sido robada con motivo de un ciberataque. Para así poder cambiarla inmediatamente o eliminar el perfil, si ya no hacemos uso del mismo.
- Preguntar a expertos, antes de responder al ciberdelincuente o realizar el pago: En el caso de nuestros lectores, tenéis la opción de poneros en contacto con nosotros contestando a cualquiera de los correos de SECURE&TIP semanales que recibís y atenderemos vuestras dudas de forma gratuita, tanto si son personales, como si son profesionales.
- Denunciarlo: Si hemos recibido el correo electrónico a nivel personal, debemos reportar dicho ciberataque a nuestro proveedor de este servicio (Microsoft, Google, Yahoo, etc.). Si lo hemos recibido en el ámbito laboral, es nuestra obligación avisar cuanto antes al Dpto. de IT o al Responsable de IT, al CISO y al DPO (si existieran estos dos últimos cargos en nuestra empresa o entidad).
NOTA IMPORTANTE: En cualquiera de los casos descritos en el apartado anterior, recomendamos denunciarlo también a las autoridades policiales, para que puedan realizar una investigación y frenar estas campañas de ciberataque o incluso dar con los delincuentes que se esconden detrás de ellas.
*Fecha de envío: 27 de octubre de 2025
