Extorsión a otro nivel: ahora atacan tu vida privada — y acabarás pagando

Una investigación de Proofpoint mostró que la versión pública del spyware Stealerium va mucho más allá de las habituales funciones de robar contraseñas y monederos. El malware, disponible libremente en GitHub, incorpora un mecanismo de chantaje automático: monitoriza en el navegador del usuario páginas que contienen palabras clave relacionadas con la pornografía, toma capturas de pantalla y, al mismo tiempo, activa la cámara web. Las imágenes obtenidas se envían al atacante, que puede usarlas para presionar y extorsionar.

Stealerium se distribuye mediante campañas masivas de correo: Proofpoint detectó decenas de miles de mensajes en los que se intentaba atraer a las víctimas con un adjunto o un enlace presentados como una factura o un aviso de pago. Las campañas se registraron en distintos sectores —desde la hostelería hasta la educación y las finanzas— pero, como subrayan los investigadores, las víctimas probablemente no se limitan a usuarios corporativos. Tras la instalación, el troyano recoge el habitual conjunto de datos: cuentas, información bancaria y claves privadas. El envío de la información se realiza a través de Telegram, Discord o protocolos de correo.

La principal diferencia del malware es precisamente la incorporación de un guion de compromisos automáticos mediante contenido íntimo. La lista de palabras desencadenantes para vigilar las direcciones en el navegador se puede configurar, lo que permite a los atacantes elegir temas adecuados para su esquema de chantaje. Por ahora Proofpoint no cuenta con ejemplos de víctimas en las que este mecanismo haya funcionado, pero el mero hecho de su existencia apunta a su uso práctico.

El autor de Stealerium, que se oculta bajo el alias witchfindertr y se presenta como "analista de malware" desde Londres, publicó el código en abierto con la advertencia de que el programa está destinado únicamente a fines educativos y que la responsabilidad por su uso recae en los usuarios. Sin embargo, tales declaraciones no impiden que grupos criminales conviertan un "proyecto de estudio" en una herramienta de extorsión. Alojamiento de ese código en GitHub crea riesgos adicionales para la seguridad.

Los especialistas señalan que este enfoque cambia el equilibrio en el mundo del cibercrimen. Mientras antes los ataques sonados con rescates de millones convertían a los hackers en objetivo de las fuerzas del orden, los nuevos esquemas se orientan a presionar de forma puntual a personas que, por temor a la exposición, pueden ceder más rápidamente. La idea de captar automáticamente momentos vulnerables de la vida privada de los usuarios era hasta hace poco extremadamente rara. Solo se conoce un caso aislado en 2019, cuando ESET descubrió una campaña contra usuarios francófonos con una funcionalidad similar.

Stealerium se ha convertido en una muestra de que incluso en el nicho de los ladrones de información aparecen técnicas pensadas no solo para el robo de credenciales, sino también para la presión psicológica. La disponibilidad masiva del código junto con el nuevo modelo de extorsión convierte este proyecto en una posible fuente de un gran número de incidentes en el futuro próximo.