Investigadores de Kaspersky Lab han observado cómo cibercriminales usan pornografía como señuelo para difundir malware o para cometer fraude. 

Mientras se observaban sitios en el mercado clandestino y semi clandestino en la red obscura, buscando información sobre los bienes legales e ilegales que se venden ahí, se encontraron drogas, armas, malware y más: también se ofrecen a la venta credenciales para sitios de pornografía. Diferentes a muchos otros bienes digitales disponibles para comprar en la web obscura, estas cuentas son vendidas a muy bajos precios y en grandes cantidades. 

Desde 2016, más de 72 millones de credenciales para sitios con contenido para adultos fueron robadas y después aparecieron en línea. Esto incluye datos de Cams.com (62.6 millones), Penthouse.com (7.1 millones), Stripshow (1.42 millones), 380 mil de xHamster y cerca de 791 mil de Brazzers. Y estas estadísticas no incluyen cerca de 400 millones de credenciales del sitio AdultFriendFinder, el cual se centra en encuentros offline más que en contenido para los visitantes.

El objetivo general de esta investigación es aumentar la conciencia entre los consumidores de contenido para adultos sobre ciberseguridad ya que pueden ser un blanco fácil para un ciberdelincuente.

Amenazas para usuarios en computadoras

• Kaspersky Lab identificó al menos 27 variantes de malware para computadoras, pertenecientes a 3 familias, los cuales específicamente buscan credenciales para sitios de pornografía de paga.
• En 2017, esas familias maliciosas fueron vistas más de 300 mil veces, intentando atacar más de 50 mil equipos alrededor del mundo.

Amenazas para usuarios de dispositivos móviles

• En 2017, al menos 1.2 millones de usuarios encontraron malware con contenido para adultos al menos una vez. Esto es el 25.4% de todos los usuarios que encontraron algún tipo de malware para Android.
• El malware para móviles hace uso extensivo de la pornografía para atacar a los usuarios: investigadores de Kaspersky Lab identificaron 23 familias de malware para móviles que usan estos contenidos para ocultar su función real.
• Clics maliciosos, malware que busca privilegios administrativos y troyanos bancarios son los tipos de malware que más a menudo se encuentran dentro de las aplicaciones para pornografía de Android.

Una mirada hacía lo clandestino

• Las cuentas comprometidas para sitios de pornografía son vendidas por miles en sitios del mercado obscuro, se encontraron más de 5 mil ofertas de venta durante la investigación.
• También se encontró que las credenciales de cuentas como Naughty America, Brazzers, Mofos, Reality Kings y Pornhub son las más vendidas en la la web obscura.
• El precio promedio en el mercado obscuro de una cuenta anual ilimitada ronda una décima parte del costo oficial.

Amenazas para usuarios de computadoras

Cuando se trata de amenazas que los usuarios pueden enfrentar en un equipo de escritorio, se pueden dividir en 2 grandes categorías: phishing y malware. Mientras el malware es algo que los usuarios de PC encuentran más frecuentemente que los usuarios de Mac, las estafas de phishing son una amenaza común para ambas plataformas. 

Algunos ciber criminales utilizan pornografía en campañas de phishing, pero en ese caso es más usada como una herramienta para entregar los a veces llamados esquemas “scareware” y a veces para atraer a las personas para instalar malware en sus equipos. Según lo que se observa en la telemetría, estos esquemas de fraude son bastante populares y existen tanto para usuarios de PC como de Mac.

El otro tipo de esquema de fraude con phishing que los usuarios corren el riesgo de encontrar mientras buscan pornografía está destinado a infectar el dispositivo con malware disfrazado como actualización para Flash Player para ejecutar el video que el usuario está buscando. Se ha visto que algunos esquemas de fraude de phishing imitan servicios de citas sexuales. El esquema usualmente comienza con un anuncio en una página de pornografía, el cual promete una cita rápida y fácil con una mujer que vive en la zona y que está buscando una cita. Si el usuario sigue el anuncio, es redirigido a una página donde es informado que otro usuario está listo para una cita.

Sin embargo, a fin de mantenerse en contacto con la cita potencial, se solicita a la víctima que proporcione sus datos de tarjeta de crédito, por ejemplo, para probar que son mayores de edad. Este requerimiento promete no realizar ningún cargo a la tarjeta y se posiciona como un componente obligatorio del servicio. Por supuesto, una vez que los datos se ingresan, la sesión termina y la víctima no obtiene nada más que información de pago comprometida.

Una de las sorpresas de esta investigación de Kaspersky es que se han encontrado hasta 27 variantes de tres familias distintas de troyanos bancarios (beatbot, Neverquest y Panda) que se dirigen a este tipo de sitios para adultos con la finalidad de robar las credenciales de acceso de los visitantes. Diez de estas variantes estaban dirigidas específicamente a cuentas de Pornhub.com; cinco, a Brazzers.com; tres a chatrubate.com; y doce restantes, a los populares Xvideos.com, Xnxx.com, Motherless.com, Youporn.com y Myfreecams.com. La razón de usar troyanos bancarios en este tipo de sitios no es clara, pero podría tratarse de un laboratorio en el que los ciberdelincuentes prueban variantes malware, o para robar las credenciales de acceso y venderlas en el mercado negro.

Amenazas a móviles

En la investigación lograron identificar 23 familias diferentes de malware para Android que usan temas pornográficos: clickers (45.8%); troyanos bancarios y ransomware (30.38%): malware de rooting (22.38%); troyanos de SMS y falsas suscripciones a pornografía(2.81%).

Un caso especial de malware es Soceng, que al ejecutarse envía un SMS a todos los contactos de la víctima con el texto “HEY!!! [nombre del usuario] Elite te ha hackeado. Obedece o serás hakceado”. Después, borra todos los archivos de la tarjeta de memoria y suplanta las aplicaciones de Facebook, Google talk, WhatsApp y MMS con su propia ventana. El objetivo de este malware no es económico, y parece que su único fin es arruinar la vida digital de la víctima o es parte de alguna prueba para una operación criminal desconocida hasta ahora.

En 2017, más de 1.2 millones de usuarios se encontraron con una de las aplicaciones de estas 23 familias al menos una vez. 

El mercado negro

La investigación de Kaspersky Lab analizó 29 mercados en Tor. La lista puede encontrarse en DeepDotWeb, un sitio abierto de Tor que contiene toda la información interna acerca de noticias del mercado negro, incluyendo cambios en la lista de estos sitios.

Para propósitos de este análisis, Kaspersky analizó cinco mercados con el mayor número de ofertas. En total se encontraron 5,239 ofertas únicas para comprar una o más cuentas de sitios populares de pornografía, pero podría haber hasta 10,000 cuentas. La razón por la que los usuarios compran estas cuentas robadas es porque son más baratas de lo que podrían costar por medios legales, además de que por este medio los usuarios mantienen su anonimato.

Los inconvenientes de comprar estas cuentas en el mercado negro son, en primer lugar, que son ilegales, puesto que son robadas, y existe el riesgo de que al pagar por las credenciales estas sean canceladas, con lo que el comprador se quedaría sin nada, y no podría reclamar un reembolso.

Conclusiones y recomendaciones

Para prevenir cualquier malware o fraude cibernético relacionado con el contenido para adultos, se recomienda ampliamente:

• Usar solo sitios confiables cuando se trata de contenido para adultos. Los ciber criminales a menudo publican sitios falsos por la simple razón de infectar a las víctimas con malware.
• No instalar aplicaciones Android de fuentes desconocidas, incluso si tienen la promesa de acceder al contenido que se buscas. En su lugar, usar aplicaciones oficiales de fuentes oficiales, como Google Play.
• Evitar comprar cuentas hackeadas de sitios de pornografía. Es ilegal y algunas cuentas pueden estar bloqueadas para el momento de la compra.
• Usa una solución confiable de seguridad capaz de proteger todos los dispositivos de cualquier tipo de amenazas cibernéticas.

Artículos relacionados: 

• Mitos y realidades de la red profunda
• La red tor como elemento de privacidad en nuestras vidas
• El FBI desenmascara usuario de Tor como sospechoso de sextorsión