Un nuevo tipo de spyware combina el robo de datos con la extorsión sexual automatizada
Un nuevo espécimen de malware conocido como Stealerium está llevando el chantaje sexual cibernético a un nivel completamente automatizado y perturbador. Este infostealer (ladrón de información) no solo roba datos sensibles como contraseñas y información bancaria, sino que monitorea cuando una víctima está navegando contenido pornográfico, captura simultáneamente screenshots de la pantalla y fotos a través de la webcam.
Una nueva dimensión del cibercrimen
Los investigadores de la firma de seguridad Proofpoint publicaron su análisis de este malware de código abierto que han detectado en múltiples campañas cibercriminales desde mayo de este año. A diferencia de los tradicionales infostealers que se limitan a robar credenciales y datos financieros, Stealerium añade una capa adicional de invasión de privacidad especialmente diseñada para la extorsión sexual.
«Cuando se trata de infostealers, típicamente buscan agarrar lo que puedan», explica Selena Larson, una de las investigadoras de Proofpoint. «Esto añade otra capa de invasión de privacidad e información sensible que definitivamente no querrías que estuviera en manos de un hacker particular. Es repugnante. Lo odio.»
Distribución gratuita y sin responsabilidad
Extrañamente, Stealerium se distribuye como una herramienta gratuita de código abierto disponible en Github. Su desarrollador, que utiliza el seudónimo witchfindertr y se describe como un «analista de malware» con base en Londres, especifica en la página que el programa es «solo para propósitos educativos».
«Cómo uses este programa es tu responsabilidad», lee la página. «No me haré responsable de ninguna actividad ilegal. Tampoco me importa una mierda cómo lo uses.»
Metodología del ataque
Los cibercriminales engañan a las víctimas para que descarguen e instalen Stealerium a través de correos electrónicos con archivos adjuntos o enlaces web, utilizando señuelos típicos como facturas falsas o notificaciones de pago. Las campañas han dirigido principalmente a empresas en las industrias de:
- Hospitalidad
- Educación
- Finanzas
Una vez instalado, el malware no solo recopila y envía una amplia variedad de datos robados a través de servicios como Telegram, Discord o el protocolo SMTP, sino que ejecuta su función más perturbadora: monitorea las URL del navegador en busca de términos relacionados con pornografía como «sex» y «porn» (que pueden ser personalizados por el hacker), y cuando los detecta, captura simultáneamente imágenes de la webcam del usuario y screenshots del navegador.
Un fenómeno prácticamente inédito
Aunque los métodos de extorsión sexual más manuales son una táctica común de chantaje entre cibercriminales, y las campañas de estafa donde los hackers afirman tener fotos de webcam de víctimas viendo pornografía han plagado las bandejas de entrada en años recientes, las fotos reales y automatizadas de webcam de usuarios navegando contenido adulto es «prácticamente inaudito», según Kyle Cucci, investigador de Proofpoint.
El único ejemplo similar conocido fue una campaña de malware que atacó a usuarios francófonos en 2019, descubierta por la firma de ciberseguridad eslovaca ESET.
Cambio hacia objetivos individuales
Esta evolución hacia atacar usuarios individuales con funciones automatizadas de extorsión sexual puede ser parte de una tendencia más amplia de algunos cibercriminales —particularmente grupos de nivel inferior— alejándose de campañas de ransomware de alta visibilidad y gran escala que tienden a atraer la atención de las fuerzas del orden.
«Para un hacker, no es como si estuvieras derribando una empresa multimillonaria que va a hacer ruido y tener muchos impactos posteriores», dice Larson, contrastando las tácticas de extorsión sexual con las operaciones de ransomware que intentan extorsionar sumas de siete cifras a las empresas. «Están tratando de monetizar a las personas una a la vez. Y tal vez personas que podrían sentir vergüenza de reportar algo como esto.»
Implicaciones para la ciberseguridad
Proofpoint detectó el malware en decenas de miles de correos electrónicos enviados por dos grupos de hackers diferentes que la compañía rastrea, ambos operaciones cibercriminales de escala relativamente pequeña, así como en varias otras campañas de hacking basadas en correo electrónico.
Aunque los investigadores no han identificado víctimas específicas de la función de extorsión sexual, sugieren que la existencia de la característica significa que probablemente ha sido utilizada. Este desarrollo representa una escalada significativa en las técnicas de invasión de privacidad utilizadas por cibercriminales, combinando el robo automatizado de datos con el potencial para chantaje sexual personalizado.
La aparición de Stealerium subraya la necesidad urgente de medidas de ciberseguridad más robustas y conciencia del usuario sobre los riesgos de descargar archivos adjuntos sospechosos o hacer clic en enlaces no verificados en correos electrónicos.
 no solo roba datos sensibles como contraseñas y información bancaria, sino que monitorea cuando una víctima está navegando contenido pornográfico, captura simultáneamente screenshots de la pantalla y fotos a través de la webcam.){kind=link}