'Sextorsión': ¿pueden estar grabándote mientras ves vídeos en Internet?

La 'sextorsión' es un método de chantaje que consiste en amenazar a personas con publicar contenido íntimo, como por ejemplo imágenes de desnudos o vídeos de las víctimas realizando prácticas sexuales. Los casos más mediáticos tienen como protagonistas a personajes conocidos, si bien este tipo de extorsión se ha extendido con técnicas masivas y cualquiera puede verse afectado. Nadie está a salvo de recibir el fatídico mensaje donde amenazan con difundir un vídeo comprometido por Internet.

Podemos clasificar los métodos de 'sextorsión' en tres grandes categorías en función de cómo se captaron las imágenes comprometidas:

Se trata de un intento de fraude bastante común y masivo. Los atacantes suelen utilizar técnicas de 'spam', usando listados de direcciones de correo electrónicos, para enviar de forma indiscriminada un mensaje con el chantaje a miles de destinatarios. En el texto advierten de que el ordenador fue infectado con un 'malware' que les ha permitido acceder a todos los ficheros y grabar a la víctima a través de su 'webcam' en una situación comprometida y mientras visualizaba contenidos para adultos. A continuación dan las instrucciones para proceder a un pago si se quiere evitar que el vídeo sea enviado a toda la lista de contactos que ha recopilado del correo de la víctima.

Un pequeño porcentaje de las personas que reciben este tipo de estafa terminan pagando por temor a que la amenaza sea cierta, pese a que el atacante nunca ofrece prueba alguna de la existencia de dichas imágenes. La recomendación ante este tipo de casos es, simplemente, ignorar el mensaje.

En estos casos la víctima hizo fotos o vídeos de forma consciente para uso privado, por ejemplo para compartirlo con un tercero de confianza. Las razones por las que las imágenes se filtran pueden ser muy variadas. A veces el propio destinatario termina compartiendo el contenido íntimo o se convierte él mismo en chantajeador, en otras ocasiones alguien con acceso físico al ordenador o móvil puede hacer copia de las imágenes. También hay casos de 'hacking' más o menos sofisticados que permiten tener acceso a los ficheros de forma remota, o simplemente alguien logra averiguar el usuario y contraseña de acceso al servicio en la nube donde el móvil almacena una copia de todas las fotos y vídeos.

En cualquier caso la recomendación es clara: la mejor manera de evitar filtraciones de imágenes o vídeos comprometidos es no generar contenido de dicha naturaleza.

Este es el escenario más sofisticado y suele estar relacionado bien con 'malware' que ha infectado el sistema, bien con un abuso de aplicaciones corporativas de control remoto. En todos los casos estamos hablando de un 'software' que permite a un tercero tener control sobre el sistema de forma remota y, entre otras funciones, le permite grabar audio y vídeo de forma indiscriminada en cualquier momento. Hasta hace unos años este tipo de ataques se consideraba muy personalizado y poco escalable, un atacante vigilaba a una o varias víctimas de forma remota para captar contenido comprometido.

Hoy día este proceso se ha automatizado y se han detectado campañas de 'malware' que realizan esta actividad, de forma totalmente desatendida, en miles de sistemas que consiguen infectar. Básicamente el 'malware' contiene un módulo que monitoriza qué sitios web está visitando el usuario infectado y, cuando detecta alguna palabra clave relacionada con contenidos para adultos, activa automáticamente la 'webcam' para grabar a la víctima. Los vídeos son enviados a un ordenador remoto donde los atacantes hacen la criba y deciden a quién pueden chantajear.

Las precauciones para evitar este tipo de escenarios son a priori comunes a las que debemos seguir para prevenir las infecciones de cualquier otro tipo de 'malware'. Es decir, mantener actualizados nuestros sistemas, no instalar aplicaciones de forma indiscriminada, mantener una actitud crítica con los contenidos que nos envían o nos encontramos por la red, etc. Dicho de otro modo, mantener una buena higiene tecnológica.

También es preciso recordar que los dispositivos corporativos pueden estar administrados y monitorizados de forma remota y centralizada. Debemos hacer en todo momento un uso responsable de los mismos y ser conscientes de que toda la actividad puede estar siendo registrada.

Las 'webcams' de los ordenadores suelen incorporar un led que se ilumina para indicar que la cámara está activada, es una especie de chivato para recordarnos que estamos siendo grabados. Aunque hay dependencias según el 'hardware', en la mayoría de los casos es posible saltarse ese mecanismo por 'software' y activar la cámara sin que el led se ilumine. La opción de tapar la cámara de forma física no suena muy tecnológica, pero en última instancia es lo más efectivo si queremos prevenir a toda costa que podamos ser grabados. Una simple pegatina puede ser suficiente, aunque venden también todo tipo de accesorios.

Esta práctica de tapar físicamente la cámara siempre ha existido en el mundillo de la ciberseguridad, pero quién realmente la puso de moda fue el creador de Facebook de forma accidental. En 2016 Mark Zuckerberg publicó una foto en su puesto de trabajo para celebrar los 500 millones de usuarios de Instagram. La foto se hizo viral porque se podía apreciar en la imagen como tenía tapada no sólo la cámara de su Mac, sino también el micrófono. Efectivamente, los ordenadores pueden ser usados tanto para ver como para escuchar de forma remota.

Otra anécdota al respecto la protagonizó el entonces director del FBI, James Corney, cuando durante una entrevista le preguntaron si tapaba la cámara de su portátil, a lo que contestó: «Puse un trozo de cinta adhesiva sobre la cámara porque vi a alguien más inteligente que yo tenía un trozo de cinta adhesiva sobre su cámara«.

El mismo riesgo está presente en los teléfonos móviles, y aquí ni siquiera suele haber led para indicar si la cámara está activa. De momento son muy pocos los que tapan la cámara frontal como medida preventiva, y apenas nadie la cámara principal o el micrófono porque afecta a la funcionalidad del dispositivo.

Primero recordemos que la difusión de este tipo de contenido es un delito castigado con pena de cárcel. Así lo recoge el artículo 197.7 del Código Penal: «Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona.»

En el caso de que nos encontremos el contenido en redes sociales es importante que no colaboremos en su difusión, aunque sea de forma indirecta comentando sobre ello con las mejores de nuestras intenciones. Sí es recomendable que utilicemos los mecanismos que ofrezca la plataforma para denunciar este tipo de contenido abusivo, aunque pensemos o sepamos que otros ya lo habrán hecho con anterioridad. Las redes sociales suelen recibir miles de denuncias diarias que tienen que ser investigadas y cribadas. Para priorizar esta larga lista de casos usan diferentes algoritmos de pesos y ordenación, y uno de los indicadores suele ser el número de denuncias que ha tenido una publicación. Nuestro pequeño gesto, algo tan simple como un par de clics para denunciar un 'tweet', puede ser vital para acelerar la retirada del contenido abusivo y ayudar a la víctima.