Parece que cada día las estafas contra la criptomoneda son más prominentes. Para obtener dinero de curiosos inversionistas de la criptomoneda, una nueva estrategia está explotando la herramienta de Lightshot para compartir pantalla, siguiendo de cerca los pasos de los estafadores que engañan a los usuarios de Discord al ofrecerles servicios cambiarios falsos e inexistentes, inventando historias sobre afortunados ganadores en sitios de noticias falsas, y simulando dinero helicóptero,.
Que sea conveniente no significa que sea seguro
Lightshot es una herramienta para crear, personalizar y enviar capturas de pantalla rápidamente. Consta de una aplicación para Windows, Mac OS o Ubuntu y el portal en la nube prnt.sc, y permite que los usuarios compartan de manera fácil y rápida capturas de pantalla. Mediante un clic o un acceso directo, envía una imagen a la nube y devuelve una URL para compartirla.
Cualquiera puede ver las capturas de pantalla publicadas sin autenticación; ni siquiera necesitas tener cuenta en Lightshot. Por este motivo, el servicio es rápido y conveniente, pero no es muy seguro.
Es más, para ver una captura de pantalla, ni siquiera necesitas el enlace exacto; las URL son secuenciales, de manera que si, por ejemplo, reemplazas uno de sus caracteres por el que le sigue, se abrirá otra imagen. Incluso se puede automatizar el proceso. Escribir un script simple para obtener a la fuerza las URL y descargar contenido de ahí solo tomaría unos minutos.
Dicha apertura no es un error; el servicio advierte a los usuarios que cada imagen que se sube es pública. Sin embargo, dado que las filtraciones de información importante mediante Lightshot con frecuencia aparecen en las noticias, es obvio que no todos leen las letras pequeñas.
¿Cómo filtrar datos en Lightshot?
¿Y qué pasa si las capturas de pantalla se vuelven de dominio público? ¿A quién le importa que se compartan logros de videojuegos o bromas de oficina? Piensa un poco: los usuarios de Lightshot pueden divulgar su propia información privada en cualquiera de al menos tres maneras muy verosímiles.
Por ejemplo, un empleado que toma una captura de pantalla de una interfaz para que lo ayuden a configurar un nuevo programa. Suena bien. Pero, ¿qué pasa si tiene abierto un documento confidencial, oculto solo parcialmente debajo de la ventana de la aplicación? ¿O si alguien comparte un correo ridículamente estúpido de trabajo a un amigo de confianza, nada más por diversión? ¿O si alguien muestra una conversación de chat privada, pero olvida borrar los nombres y direcciones?
Si estas capturas de pantalla se publican en Lightshot, podrían causar grandes problemas. Los alborotadores online están a la caza de fotos reveladoras por diversión; los trolls pueden utilizarlas para acosar, mientras que a los cibercriminales les pueden servir para amenazar con exponerlas, y así extorsionar dinero de las víctimas.
Una trampa para los chismosos
Al mismo tiempo, incluso quienes mantienen su datos privados y siempre verifican que las capturas de pantalla no incluyan elementos no deseados, podrían descubrir que el servicio aún tiene ciertos inconvenientes. Por ejemplo, en cualquier momento, en un día cualquiera, el portal de Lightshot podría contener capturas de pantalla con detalles para acceder a un monedero de criptomonedas. En ocasiones, las capturas de pantalla parecen indicar que la cuenta se compartió de manera deliberada. En algunas se pide ayuda. Otras son raras y sin relación; incluso vimos una nota de suicidio.
En otros casos, parece que las “credenciales” llegaron a Lightshot por accidente o descuido. Por ejemplo, vimos capturas de pantalla que aparentaban ser correos electrónicos de recuperación de contraseñas para monederos de criptomonedas.
Si un usuario entra en la URL de la captura de pantalla tratando de obtener dinero fácil, va a entrar a un sitio web que se hace pasar por un servicio cambiario de criptomoneda. Ingresar las credenciales los lleva a una cuenta falsa que parece tener una cantidad impresionante de criptomoneda, por ejemplo, 0.8 BTC (más de 45,000 dólares al momento de la publicación). Y una vez dentro de la cuenta, la víctima puede intentar retirar los fondos y transferirlos a su propia cuenta.
En ese caso, el servicio cambiario pide una pequeña comisión. En comparación con la suma total, son cacahuates, pero es falso, y lo único que logrará la víctima es llenar los bolsillos de los estafadores. Y, por supuesto, “cacahuates” es relativo: Una comisión de 0.001-0.0015 BTC, por ejemplo, en el tipo de cambio actual de bitcoin equivale aproximadamente a 60-90 dólares.
En general, parece que la estrategia funciona, y tiene cierta elegancia. Al momento de la publicación, se habían transferido alrededor de 0.1 BTC (aprox. 6,000 dólares) al monedero de “comisiones”.
Cómo no arriesgar tu dinero y mantener tus datos seguros
La conveniencia no equivale a seguridad o privacidad; es más, con frecuencia es lo contrario. Lightshot es un buen ejemplo. A continuación, te presentamos algunos consejos para que tus capturas de pantalla estén seguras:
- Antes de instalar Lightshot, considera si en verdad quieres compartir tus capturas mediante hacerlas públicas.
- Si decides seguir adelante, recuerda que la información confidencial (información bancaria, contraseñas, otra información personal) es el pan de cada día de los cibercriminales. Utiliza canales seguros para compartirlas, no Lightshot, o mejor aún, no las compartas.
- Si ya usaste Lightshot y te arrepientes de compartir algo, puedes obtener la URL si buscas en tus mensajes, ingresas, y haces clic en Reportar abuso; o bien, puedes enviar una solicitud a support@skillbrains.com.
- Utiliza las herramientas integradas de tu sistema operativo y los atajos para crear capturas de pantalla. En Windows, utiliza la herramienta Recorte y anotación o el botón de Imprimir pantalla; los usuarios de Mac pueden presionar Cmd-Shift-3 para guardar una captura de pantalla completa o Cmd-Shift-4 para seleccionar un área específica.
Y para aclarar, no recomendamos ingresar en cuentas de otros, ni siquiera por curiosidad. Y evita dar tus credenciales de inicio de sesión por accidente a los operadores del phishing, utiliza una solución de seguridad de confianza que te avise si te desvías a un sitio web sospechoso.