Una nueva campaña de extorsión digital está circulando por correos electrónicos y mensajes directos con una narrativa inquietante: la supuesta instalación del spyware Pegasus en los dispositivos de la víctima. El mensaje afirma que el atacante tiene acceso total a fotos, conversaciones y contactos personales, y exige el pago de 1.900 dólares en Litecoin para evitar la supuesta filtración de esa información.
Aunque el nombre del software es real —Pegasus ha sido utilizado por gobiernos para operaciones de vigilancia—, en este caso es utilizado como anzuelo psicológico en un esquema de fraude digital sin respaldo técnico ni acceso efectivo a los dispositivos comprometidos.
El peso de una marca: cómo se usa «Pegasus» como herramienta de intimidación
La elección de la palabra “Pegasus” no es casual. Se trata de un software que ha sido ampliamente documentado en investigaciones internacionales, asociado a espionaje estatal y vulnerabilidades en sistemas operativos móviles. Sin embargo, en esta campaña de sextorsión digital, no hay evidencia de que el malware haya sido instalado. Todo apunta a un intento de manipulación emocional mediante un discurso que imita las estrategias del ransomware, pero sin los recursos técnicos detrás.
Cómo opera el engaño: Litecoin, miedo y silencio
El esquema sigue un patrón clásico de ingeniería social. El mensaje está cuidadosamente redactado para generar pánico inmediato, combinando un tono intimidante con instrucciones detalladas para el pago: una billetera de Litecoin (LTC), elegida por su capacidad para realizar transacciones anónimas. La nota advierte además que contactar a las autoridades, reiniciar el dispositivo o incluso ignorar el mensaje podría “activar” la publicación de los datos, supuestamente robados.
Este tipo de instrucciones refuerzan la sensación de inmediatez y aislamiento que buscan los extorsionadores, reduciendo las posibilidades de que la víctima consulte a un experto o se detenga a dudar de la veracidad del ataque.
¿Qué está en juego en términos de compliance?
Este tipo de amenazas, aunque técnicamente poco sofisticadas, ponen a prueba los protocolos de ciberseguridad y respuesta ante incidentes de empresas y usuarios individuales. En el mundo del compliance, donde la protección de datos y la resiliencia digital son prioridades, campañas como estas evidencian la necesidad de capacitar tanto a equipos técnicos como a usuarios en el reconocimiento de amenazas sociales y no solo técnicas.
Recomendaciones para mitigar el riesgo
Aunque los atacantes no hayan accedido realmente a los dispositivos, el simple hecho de que la víctima entre a un enlace o descargue un archivo puede derivar en una verdadera infección por malware. Por eso, los especialistas recomiendan:
- No responder al mensaje ni realizar pagos.
- Evitar abrir enlaces o archivos adjuntos.
- Mantener el sistema operativo y las aplicaciones siempre actualizadas.
- Utilizar soluciones de seguridad confiables (antivirus, firewall, antiespía).
- Implementar prácticas seguras de manejo de contraseñas y verificación en dos pasos.
Desde el enfoque del compliance, también se recomienda generar protocolos internos de respuesta ante amenazas digitales y fomentar una cultura de reporte inmediato de cualquier incidente sospechoso.
Una campaña global, automatizada y sin fronteras
Este tipo de ataques no es exclusivo de una región. Se han documentado variantes del mismo mensaje en Europa, América Latina y Asia, con adaptaciones mínimas al idioma o moneda local. Se trata de campañas automatizadas que se envían por miles, donde incluso un pequeño porcentaje de respuestas positivas representa una ganancia significativa para los atacantes.
Hasta el momento, no hay registros verificables de casos en los que los atacantes hayan cumplido su amenaza de difusión al no recibir el pago. Aun así, el impacto emocional puede ser considerable, especialmente entre usuarios menos familiarizados con el mundo digital.
Tecnología vs. miedo: el rol de la educación digital
La aparición de estas campañas refuerza una idea cada vez más aceptada en el entorno del compliance tecnológico: la seguridad no es solo una cuestión de firewalls y cifrado, también es un problema de educación. El uso de nombres reales como Pegasus da apariencia de legitimidad a amenazas que no tienen base técnica. Por eso, una ciudadanía digital formada, capaz de identificar patrones de fraude, se convierte en una herramienta clave para prevenir, reportar y mitigar este tipo de extorsiones.
Fuente: https://www.infobae.com/tecno/2025/04/30/la-estafa-de-pegasus-asi-operan-los-supuestos-hackers-que-amenazan-con-divulgar-datos-privados/
