I. La ficción

Black Mirror S3E3: Shut up and dance.

The episode tells the story of a teenage boy who is blackmailed into committing bizarre and criminal acts by a mysterious hacker possessing a video of him masturbating.

II. La estafa pasada

O influencia directa: tenemos material sobre ti.

En pleno siglo XXI, en el mundo real, gran parte de la población vive rodeados de múltiples cámaras que enfocan de forma más o menos continua sus caras o sus cuerpos durante gran parte del día. Algunos incluso se desnudan o realizan actos sexuales frente a ellas.

A US teenager pleads guilty to hacking computer webcams to take photos of women in the US and Ireland to blackmail them (2013):

A US teenager has pleaded guilty to hacking computer webcams to capture images of women in the US, Ireland and elsewhere to blackmail them.

According to court documents, Abrahams threatened to post pictures he had taken of his victims while they were undressed if they did not send him additional photos or strip for him on Skype video.

[...] In 2012, a US court jailed Trevor Timothy for hacking women's laptops and sending an alert stating that they needed to place the machines "near hot steam" to fix an internal sensor, according to the BBC. When victims took their laptops to their bathrooms at bath time, Timothy used their webcams to take photos of them getting undressed.

Reported cases of webcam blackmail double, are linked to four suicides (2016, ligeramente diferente):

Webcam blackmail usually goes something like this: you are befriended online, perhaps via Facebook or a dating website; the criminal persuades you to do something lewd in front of the webcam; and then the criminal threatens to share a recording of those sexual acts unless you pay up.

La lista de noticias sigue si se busca un poco; podemos concluir que esto es algo que ya ha ocurrido, ocurre y seguirá ocurriendo. Esta conversación de Hacker News es particularmente relevante.

III. La estafa presente

O primera derivada: te podemos hacer creer que tenemos material sobre ti.

Esta variante es relativamente nueva, y parte de la idea de que, si no se tiene el material, que parece difícil de conseguir, al menos se puede engañar a la víctima. Para ello, se parte de algún listado de contraseñas que fueron robadas de alguna página web y, con ese dato en la mano, se genera un e-mail como este:

I do know, yhhaabor, is your password. You may not know me and you're most likely thinking why you're getting this email, right?

actually, I actually setup a malware on the adult video clips (pornographic material) web site and you know what, you visited this web site to have fun (you know what I mean). While you were watching videos, your web browser began operating as a RDP (Remote Desktop) having a key logger which provided me accessibility to your display and web camera. after that, my software obtained your entire contacts from your Messenger, social networks, and email.

El resto del e-mail sigue como es de prever: hay que enviar una cierta cantidad de dinero (variable según el envío, hay varias versiones del texto circulando) usando bitcoin una cierta dirección para evitar la difusión del supuesto vídeo. El otro día, trazando una de las direcciones que se están utilizando (de nuevo, hay varias) llegué a una cuenta que había recibido unas 200 BTC (algo más de 1 millón de euros al cambio a día de hoy). La presencia de una contraseña conocida por el receptor le da credibilidad al e-mail: esta estafa funciona y hay gente que está pagando.

IV. La estafa futura

O segunda derivada: podemos hacer creer a los demás que tenemos material sobre ti. Esto es puramente especulativo, pero la siguiente versión de esta estafa puede ser más o menos así, y no me sorprendería nada empezar a verla de aquí a un par de años como mucho, en cuanto el software y las habilidades necesarias estén disponibles a cierta escala:

  1. Conseguir un listado de gente en Facebook / Instagram que haya subido suficientes fotografías o vídeos de su cara. Es decir, el 90 % de los usuarios. Descargar también su lista de contactos.
  2. Crear un vídeo usando deepfakes con el contenido deseado.
  3. Enviar un e-mail como el de arriba con un fragmento del vídeo adjunto. No importa que el receptor sepa (o crea) que no es auténtico. ¿A quién va a creer su libreta de direcciones: a él o a sus propios ojos?

Este añadido viene a cuento tangencialmente, pero imaginen que en el caso hipotético que he presentado la amenaza no es la de enviar el vídeo a la lista de contactos, sino subirlo a la blockchain (la de Bitcoin, la buena, la que sale en las mejores presentaciones de sus ejecutivos favoritos), que lo que se sube ahí, ahí se queda, como si fuesen los tuits antiguos de alguien que ha llegado a un puesto de cierta responsabilidad pero mejor.

Fragmento de un e-mail enviado a la lista de correo nettime el 20 de marzo de 2018:

The latest event is discovery that someone was/is burning child pornography into ... blockchain. To be more specific, into Bitcoin blockchain: https://fc18.ifca.ai/preproceedings/6.pdf

As everyone knows, the blockchain is immutable and lasts forever.

Possession of child pornography is widely classified as felony, usually with no exceptions for 'accidental possession'.

This means that something has to give: either possessing Bitcoin blockchain is a felony (those images will never be removed), or inadvertent possession of child pornography is not a crime (which will give rise to new child pornography storage medium: blockchain.)

Cada vez que leo un artículo sobre una compañía grande, especialmente algún banco, que dice que quiere hacer algo con Bitcoin pienso en este e-mail. Qué querrán. Putos cerdos.