Scam, Bitcoin & Cintas de vídeo

Como vivimos en un mundo conectado a nivel global, donde hay gente buena y gente mala, he recibido un email de amenazas y extorsiones de un tal Donalt Clagett en el que se me piden 1900$ a pagar a una cuenta de Bitcoin para que el delincuente en cuestión no difunda un supuesto vídeo mío viendo pornografía. Para ver que va en serio, en su email me indica mi nombre de usuario de alguna web y un password que utilicé en esa web en algún momento de mi vida. ¿Qué hacer en estos casos?

El email recibido en un correcto inglés es el siguiente:

I'm aware, XXXXX, is your pass word. You may not know me and you are probably thinking
why you're getting this e-mail, correct? 

Let me tell you, I actually placed a malware on the adult videos (porn) web site and do
you know what, you visited this site to have fun (you know what I mean). While you were
watching videos, your browser started functioning as a RDP (Remote control Desktop) 
with a key logger which provided me accessibility to your display as well as web camera.
Right after that, my software collected your complete contacts from your Messenger, FB, 
as well as email. 

What did I do? 

I created a double-screen video. 1st part shows the video you were watching (you've got
a nice taste haha), and second part displays the recording of your webcam.

What should you do? 

Well, I believe, $1900 is a fair price tag for our little secret. You'll make the 
payment through Bitcoin (if you do not know this, search "how to buy bitcoin" in Google). 

BTC Address: XXXXXXXXXXXXXXXXXXXXXX 
(It is cAsE sensitive, so copy and paste it) 

Note: 

You have one day in order to make the payment. (I've a special pixel within this 
message, and now I know that you have read through this e-mail). If I do not receive
the BitCoins, I will send your video recording to all of your contacts including 
family members, colleagues, and so on. However, if I do get paid, I will destroy the 
video immidiately. If you need proof, reply with "Yes!" and I definitely will send out 
your video recording to your 14 friends. This is the non-negotiable offer, therefore 
don't waste my time and yours by responding to this email message.

Con todo esto, ¿qué hacer?:

No asustarse
No contestar a este tipo de emails
No realizar nunca el pago que indican
No eliminar el email (es prueba del delito)
Contactar con la Brigada de Delitos Informáticos de la Policía Nacional y comentarles el caso
Cambiar contraseñas de tus cuentas de usuario (si es que ha acertado) de los diferentes sistemas, redes sociales, etcétera, que hayan podido ser afectados.
Usar contraseñas diferentes en cada plataforma, red social, aplicación, etcétera, que utilicemos, y actualizarlas con cierta frecuencia.
Desactivar (no hace falta borrar) las cuentas de usuario de redes sociales que hayan podido ser afectadas
Instalarse un antivirus y firewall y mantenerlos actualizados, si es que no lo estáis haciendo ya.
No os instaléis programas raros desde webs raras en un idioma raro que no conocéis.

Sabiendo todos estos puntos anteriores, varios comentarios para ver que es una estafa en toda regla:

Sobre el password:

El password que me indica es uno que dejé de usar (y que cambié) de varias cuentas allá por el año 2006-2007. Muchas de esas cuentas están ya cerradas / deshabilitadas en esas aplicaciones o web.
¿Cómo ha podido obtenerlo? Pues porque el mundo está lleno de gente buena y gente mala, y hay sitios y aplicaciones en Internet que pueden tener brechas de seguridad y dejar expuestas contraseñas y datos de usuarios, bien de forma accidental o bien porque son unos inútiles y guardan las contraseñas en texto claro sin cifrar en la base de datos. Sí, hay gente que guarda las contraseñas sin cifrar en sus aplicaciones… Yo tampoco me explico que no pasen más cosas…
Podéis comprobar si vuestras cuentas han sido expuestas en Have I been pwned?, donde recopilan estos ficheros de sitios que han dejado expuestos datos.
Recomendación: Cambiad vuestros passwords para que sean diferentes en cada red social o aplicación que utilicéis, intentando que sean complejos (¡que no sean 1234!)

Sobre el supuesto vídeo pornográfico:

Cerca del 87% de las personas consumen o han consumido pornografía (Más info en el review anual de Pornhub). Es decir, de cada 10 personas que te cruces en la calle, sólo una es tan pervertida como para no consumir este tipo de contenidos. Otra cosa es que sea tabú comentar a otras personas que tú ves pornografía. Por tanto, lo que Donalt considera my little secret no es ningún secreto para nadie: Prácticamente todo el mundo consume porno. Secreto de los buenos.
¿Es posible que te graben con tu webcam con solo acceder a una web? Es posible. ¿Me han podido grabar a mí? Es más probable que Neymar juegue todos los partidos de una Copa del Mundo entera sin simular que le han asesinado cada vez que sopla el viento.
¿Pero te pueden grabar sin tu consentimiento? Desde una web no, puesto que la activación de la cámara depende de los permisos de que tenga el navegador web para activarla y te va a salir una alerta para que des permiso o no (no pueden activarlo automáticamente mediante un script en el navegador). Además, si me han podido grabar con mi webcam, desde aquí quiero agradecer al delincuente por apañarme la cámara y el problema con los drivers que tenía que hacía imposible que funcionara.
¿Y si sigo teniendo miedo de que me graben? Pues entonces haz como Mark Zuckerberg y pon una cinta aislante tapando la cámara. Yo tengo mi webcam (que no funciona) tapada desde hace varios años, así que en el supuesto vídeo no habré salido muy favorecido. Otra opción es irse a vivir al monte.

¿Debo preocuparme de este tipo de estafas? Hay que tenerlas en cuenta, porque cada vez son más y mejor hechas, y son muy rentables para los delincuentes, pero sabiendo que suelen seguir el mismo patrón:

Primer paso: Obtener muchos datos de muchas personas de diferentes fuentes (por ejemplo, de los ficheros de brechas de seguridad, donde pueden obtener un email y un password que hemos usado en el pasado).
Segundo paso: Generar un email creíble, bien redactado, en el que te apremian a hacer un pago rápidamente antes de que se te pase el susto.
Tercer paso: Enviar un millon de emails. Esto es muy barato.
Cuarto paso: Esperar a que alguno de ese millón pique. Con que esto suceda un 0,01% de las veces es más que rentable para el delincuente (no hace falta más que ver el timo del Príncipe Nigeriano y sus millones de dólares)

Conclusiones: ¿Puede ser verdad que tengan un vídeo tuyo y que lo vayan a difundir?

No.
Dudo mucho que, teniendo toda esa tecnología de escritorios remotos, keyloggers, etc… no tengan ya todas tus cuentas de usuario y passwords de, llámame tonto, todas tus cuentas bancarias… y que luego te pida dinero…
Si envían un vídeo de este tipo estarán incurriendo en otros delitos (además del de extorsión)
Dudo mucho que Donalt Clagett (nombre habitual en los años 40-50 en Estados Unidos, no tanto ahora mismo) haya visto el vídeo. Al menos reconoce que tengo buen gusto. Para tener 80 años le va la marcha al viejo Donalt.
En el email dice que tiene todos mis contactos (¡Catorce amigos!) de Messenger, Facebook y Email. Con ese password lo dudo. ¿Quién tiene Messenger instalado hoy en día si no tienes ni cuenta de Microsoft? ¿Quién es el afortunado que tiene 14 amigos?
¿Cómo sabe Donalt que he abierto el email si en el código fuente del email no hay ni rastro ni de imágenes, enlaces, scripts de seguimiento… siendo además que Gmail y cualquier lector de correo los bloquea y elimina por defecto? ¿Quizá nuestro buen amigo Donalt se esté tirando un farol todo el tiempo?
Todos estos emails tratan de infundir prisa y miedo: Si en menos de X horas no pagas… Si contestas a este email se desencadenará una sucesión de catastróficas desdichas… Sé que has abierto el mail… Esta oferta no es negociable… Esta técnica es muy utilizada en ciertas campañas de marketing en las que te intentan vender cosas, como una alarma porque han robado a tu vecina en el chalé de la playa…
Si pagas a una dirección de Bitcoin… ¿Cómo sabe el susodicho que eres tú el que ha pagado y no otro? ¿Estás seguro que después de pagar no va a enviar el supuesto vídeo de todas formas? No hay forma de asegurarse nada de esto, ya que ni siquiera sabe desde qué dirección de Bitcoin vas a enviar el dinero…
Si hay que pagar en Bitcoins, ¿por qué nuestro amigo Donalt nos pide 1900$? ¿Eso cuántos Bitcoins son? El valor de Bitcoin cambia cada segundo de forma sorprendente: Ahora vale 5000$, ahora 7800$, ahora 6750$, ahora 8200$… Así no hay quien se aclare…
¿Es rentable este tipo de estafas? Sí. Y mucho. Se pueden ver las transacciones realizadas a la dirección de Bitcoin en webs como Block Explorer. En el caso de nuestro amigo Donalt, a día de hoy ya ha recibido unos 3000$ en esa dirección por parte de cuatro pardillos…

Asi pues, no seáis incautos. Estos bulos se caen por sí solos. Nadie tiene ganas de veros en un vídeo. Ni el viejo y pervertido Donalt.

PD: Si queréis saber un poco más sobre Bitcoin, cómo funciona y porqué se usa en este tipo de estafas (y en otras cosas legales), os recomiendo el libro Digital Gold, donde se narra la historia de su creación y evolución.

Actualización 2018-07-31

Para comprender lo rentable que son estos tipos de estafas:

El primer día que recibí el correo, en la cuenta de Bitcoin que indicaba en el mail 4 personas habían pagado un total de unos 3000$
A los 4 días, 15 personas habían pagado un total de 15000$
En estas 3 semanas posteriores, un total de 17 personas un total de 21000$ (teniendo en cuenta también que el valor de Bitcoin ha pasado de 6500$ a 8100$)
Y acabo de recibir 2 correos idénticos más (solo que ahora, como ven que no pago, han bajado de 1900$ a solo 1000$)

Actualización 2018-08-11

Están comenzando a llegar nuevas variaciones del mail anterior. Ahora también indican que tiene mi número de teléfono, o al menos, los últimos 4 últimos dígitos (es decir, en los datos expuestos de alguna web del año 2006-2007 debían solicitar el teléfono, además del email). Curiosamente, aunque ya no lo envía el viejo Donalt el email es un calco de los anteriores, y ya lleva recaudados unos 2000$…

It seems that, +XX XXXXXXXXX, is your phone. You may not know me and you are probably wondering why you are getting this e mail, right?

actually, I setup a malware on the adult vids (porno) web-site and guess what, you visited this site to have fun (you know what I mean). While you were watching videos, your internet browser started out functioning as a RDP (Remote Desktop) having a keylogger which gave me accessibility to your screen and web cam. after that, my software program obtained all of your contacts from your Messenger, FB, as well as email.

What did I do?

I backuped phone. All photo, video and contacts.
I created a double-screen video. 1st part shows the video you were watching (you've got a good taste haha...), and 2nd part shows the recording of your web cam.

exactly what should you do? Well, in my opinion, $1000 is a fair price for our little secret. You'll make the payment by Bitcoin (if you do not know this, search "how to buy bitcoin" in Google).

BTC Address: XXXXXXXXXXXXXXXXX (It is cAsE sensitive, so copy and paste it)

Important:
You have 48 hour in order to make the payment. (I've a unique pixel in this e mail, and at this moment I know that you have read through this email message). If I do not get the BitCoins, I will certainly send out your video recording to all of your contacts including relatives, coworkers, and so on. Having said that, if I receive the payment, I'll destroy the video immidiately. If you need evidence, reply with "Yes!" and I will certainly send out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don't waste my personal time and yours by responding to this message.

Actualización 2018-09-16

De vez en cuando, el viejo y pervertido Donalt y sus secuaces me siguen enviando emails con las mismas palabras, mismos argumentos y mismas amenazas de enviarles el supuesto vídeo a mis 14 amigos de Messenger. Algunos emails ya ni vienen con la contraseña, directamente ponen palabras al azar. Eso sí, como el Bitcoin se está depreciando por segundos, cada vez piden más dólares… Hemos pasado de 3000$ a 4000$, luego a 5000$ y a 6000$ y ahora a 7000$: Estamos ante una burbuja cerca de explotar.

Actualización 2018-11-27

Ahora comienzan a llegar mails en español. Y no pueden dar más pena, ni siquiera se esfuerza en mostrarme mi nombre, mi correo electrónico o mi password obsoleto… Así no, hacker, así no… Al menos es sincero: ¡Habrá risas cuando envíe estas fotos a tus contactos!

Hola,
Soy un hacker que rompió su correo electrónico y dispositivo hace unos meses.
Usted ingresó una contraseña en uno de los sitios que visitó y yo la intercepté.
Mi malware lo actualizaba cada vez.
No intentes contactar conmigo o encontrarme, es imposible, ya que te envié un correo electrónico desde tu cuenta.
A través de su correo electrónico, cargué un código malicioso en su sistema operativo.
Guardé todos sus contactos con amigos, colegas, familiares y un historial completo de visitas a los recursos de Internet.
También instalé un troyano en tu dispositivo y un largo espionaje para ti.
Tú no eres mi única víctima, normalmente cierro las computadoras y pido un rescate.
Pero me impresionaron los sitios de contenido íntimo que visitas con frecuencia.
Estoy en shock de tus fantasías! Nunca he visto nada como esto!
Entonces, cuando te divertiste en sitios picantes (¡sabes lo que quiero decir!)
Hice una captura d e pantalla con el uso de mi programa desde la cámara de su dispositivo.
Después de eso, los combiné con el contenido del sitio actualmente visto.
¡Habrá risas cuando envíe estas fotos a tus contactos!
PERO estoy seguro de que no lo quieres.
Por lo tanto, espero pago de usted por mi silencio.
Creo que 500 EUR es un precio aceptable para ello!
Paga con Bitcoin.
Mi billetera BTC: XXXXXXXXXXXXXXXXXX
Si no sabe cómo hacerlo, ingrese en Google "cómo transferir dinero a una billetera de bitcoin". No es difícil.
Después de recibir la cantidad especificada, todos sus datos serán destruidos inmediatamente de forma automática. Mi virus también se eliminará de su sistema operativo.
Mi troyano tiene alerta automática, después de leer este correo electrónico, lo sabré.
Te doy 1 días (24 horas) para hacer un pago.
¡Si esto no sucede, todos tus contactos recibirán disparos locos de tu oscura vida secreta!
Y para que no obs truyas, tu dispositivo será bloqueado (también después de 24 horas)
¡No seas tonto!
La policía o los amigos no te ayudarán con seguridad ...
PD. Puedo darte consejos para el futuro. No ingrese sus contraseñas en sitios inseguros.
Espero tu prudencia.