La nueva estafa en la que te ‘infectan‘ con Pegasus: ‘Tengo vídeos tuyos masturbándote con porno muy controvertido‘

Pegasus es el sofisticado software espía que saltó a la actualidad en España cuando los móviles del presidente y varios ministros del Gobierno de Pedro Sánchez fueron infectados, entre 2020 y 2021. La herramienta, desarrollada por la empresa israelí NSO en 2011, puede instalarse en un dispositivo sin que la víctima tenga que realizar ninguna acción, es casi indetectable y permite un control total por parte del atacante.

El caso del Gobierno español y los titulares que sigue generando a día de hoy lo han convertido en el software espía más conocido y el único que la mayoría de la gente podría nombrar. Esta popularidad está siendo aprovechada ahora en una nueva campaña de sextorsión de la que ha alertado el Instituto Nacional de Ciberseguridad.

El INCIBE le da una importancia media -3 sobre 5- a esta estafa en la que se contacta con las víctimas mediante un correo electrónico. Este presenta asuntos como ‘Quiero informarte sobre una situación muy mala para ti’, ‘Su pago está pendiente’, ‘Esperando el pago’ o ‘xxxxxxxxxxxxxxx[at]xxxxxxx.xxx[.]xx’ y pretende extorsionar a la víctima haciéndole creer que su dispositivo ha sido infectado con Pegasus. De esta manera, el atacante habría obtenido grabaciones íntimas de la víctima a la que amenaza con difundirlas entre todos sus contactos, a menos que realice un pago en la criptomoneda Bitcoin.

Para dar mayor credibilidad a la estafa, en el campo del remitente del correo se simula el envío desde la misma cuenta de la víctima, como si fuera un correo autoenviado, lo que puede llevarla a concluir que efectivamente su dispositivo ha sido infectado, aunque no sea cierto.

En uno de los ejemplos de esta extorsión publicados por el INCIBE, se le indica a la víctima: ‘Hace unos meses que lo instalé [Pegasus] en todos tus dispositivos porque no fuiste muy cuidadoso al hacer clic en enlaces en Internet’, que ha estado monitoreando su vida desde entonces y ha ‘grabado muchos vídeos tuyos masturbándote viendo vídeos porno muy controvertidos’. A cambio de no enviar los supuestos vídeos a los contactos de la víctima, el estafador pide 1.490 dólares que la víctima debe depositar en la billetera Bitcoin que facilita en el correo.

En un segundo ejemplo, no se hace referencia a Pegasus, sino que se habla de un software espía que habría desarrollado el propio estafador y que ha podido sortear el antivirus o cualquier protección en el equipo de la víctima porque ‘utiliza controladores propios’, lo que es una explicación que no tiene ni pies ni cabeza. Pero este tipo de estafas juegan a lo que juegan. Realizan envíos masivos y, si un pequeño porcentaje pica, ahí se lo llevan. En este caso, se solicita una cantidad inferior, 750 dólares, a cambio de no difundir los inexistentes vídeos íntimos de la víctima.

El INCIBE ha comprobado que la cuenta que se facilita para el ingreso de Bitcoin se trata de una billetera digital sin fondos y que ha sido reportada como fraude en una ocasión.

Si se recibe este mensaje y no se ha caído en la trampa, hay que eliminarlo. Pero si se ha realizado un pago a los estafadores, entonces hay que reunir todas las evidencias —correos, capturas de pantalla— y denunciar la estafa ante las Fuerzas y Cuerpos de Seguridad del Estado.