Un ataque a través de la red Ashley Madison chantajea a 7.400 leoneses

El internet oscuro nunca duerme. El grupo de piratas informáticos que estafó en 2015 a los usuarios de la web de adulterio Ashley Madison ha creado en estos años su mejor versión de la estafa y ha lanzado otra campaña de extorsión en un ataque altamente personalizado y dirigido. Las víctimas siguen siendo los más de 32 millones de cuentas que se volcaron públicamente en un caso de violación de datos sin precedentes que afecta en León a 7.395 personas (4.670 vivían entonces en León capital, 1.687 en Ponferrada, 191 en San Andrés, 170 en Villaquilambre, 233 en Astorga...) y que ahora son un nuevo objetivo de los ciberdelincuentes.

La empresa de seguridad en correos electrónicos Vade Secure empezó a detectar a principio de año este nuevo caso. Ya ha habido cientos de víctimas en todo el mundo que han empezado a recibir correos electrónicos que amenazan con exponer nuevamente sus cuentas de Ashley Madison y enviar datos embarazosos a familiares y amigos, siempre que no se pague un rescate en bitcóin por valor de unos mil euros.

Los investigadores de esta agencia británica revelan que los correos incluyen los nombres de los usuarios estafados, sus números de cuentas y movimientos bancarios, de teléfono, direcciones, incluso cumpleaños. Porque llevan años nutriéndose en el subterfugio de internet de muchos de los movimientos de sus víctimas. En uno de los correos llegan a amenazar a un usuario con difundir en redes sociales una referencia a la compra de productos de asistencia masculina como la «ayuda química».

Una de las peculiaridades de la nueva estafa es que las exigencias y amenazas no aparecen en el cuerpo del correo eléctrónico, sino en un archivo con formato PDF. El documento, contraseña incluida, indica lo que hacer para detener la violación de sus datos, como por ejemplo difundir los intereses sexuales que expuso cuando abrió su cuenta en Ashley Madison. Como no, en el texto se indica todo lo necesario para pagar el rescate a través de un código QR. Por lo que saben hasta ahora los descubridores de la nueva estafa, el hecho de enviar un PDF evita ser detectado por los filtros del correo electrónico. El chantaje acaba urgiendo un plazo de seis días para recibir el pago en bitcóin y evitar que los datos personales del usuario se vuelvan a exponer públicamente. Y todo apunta a que este fenómeno está empezando a extenderse a velocidades supersónicas. Se espera que a lo largo de 2020, los ciberataques promovidos por este grupo de jáquers extenderán sus redes y lograrán alcanzar un pico delictivo sin horizonte.

Ni que decir tiene que los expertos en luchar contra este tipo de estafas aconsejan no pagar jamás el rescate. Primero, porque estos datos posiblemente ya están vendidos en la internet oscura. Segundo, porque esa misma información siempre se puede volver a utilizar para lanzar ataques adicionales, incluyendo phishing y otras muchas amenazas.

Las consecuencias reales del escándalo que se vivió hace cuatro años solo las conocen quienes las vivieron. Al tratarse de una web de contactos para infieles, el componente de la vergüenza hizo caer a miles de usuarios en las garras de este grupo autodenominado The Impact Team (Equipo Impacto), nacido para desvelar al mundo que la propiedad de Ashley Madison —los canadienses Avid Media Life— utilizaban engañosamente perfiles para hacerse pasar por mujeres reales en este sitio de citas. Lo cierto es que los nuevos propietarios de la firma resolvieron una demanda colectiva por más de diez millones de euros. Entonces ya se había descubierto que sólo el 1% de los perfiles de mujeres eran reales.

Años después del escándalo que tambaleó matrimonios, la web sigue operando. Y como nunca. La empresa asegura que tiene 60 millones de usuarios. Y bajo el mismo lema: La vida es corta. Ten una aventura.