La aplicación de mensajería personal WhatsApp está siendo objetivo en las últimas semanas para los ciberdelincuentes, proliferando el denominado secuestro de cuentas de WhatsApp, con el consiguiente robo de datos.
Este ataque, según detalla la Oficina de Seguridad del Internauta, se basa en la ingenería social. Los ciberdelincuentes solo necesitan un smartphone con la aplicación instalada y el número de teléfono de su víctima. Como WhatsApp solo permite tener un perfil por número de teléfono, los ciberdelincuentes se las arreglan para conseguir el código de verificación y secuestrar así la cuenta. Luego, pedirán un pago a cambio de devolver el acceso al dueño.
¿Cómo se realiza el secuestro?
Así lo ejemplifica la Oficina de Seguridad del Internauta:
El padre de la familia Cibernauta se encontraba en su trabajo cuando una notificación llamó su atención. Era un SMS donde WhatsApp le compartía su código de verificación para reactivar la cuenta. Su confusión no duró mucho, pues un amigo suyo le mandó un mensaje poco después, explicándole que acababa de comprarse un smartphone nuevo y al instalar la app algo fue mal y no consiguió vincular su número de teléfono, por lo que decidió utilizar el de nuestro protagonista. En el mensaje, también le pedía si podía reenviarle el código para activarlo y actualizar el número.
El padre de la familia, inocentemente, le compartió el código de verificación que WhatsApp le había enviado, sin ser consciente de que realmente estaba regalando el control de su cuenta.
Minutos más tarde, volvió a recibir un SMS donde los atacantes le explicaban que su cuenta había sido secuestrada y si quería recuperarla debía pagar el rescate.
Pero ¿cómo es esto posible? La respuesta es muy sencilla, los atacantes habían suplantado el número de teléfono de uno de sus contactos, que posiblemente hubiesen conseguido a través de un método similar. Luego, tras ingresar el número de teléfono de nuestro protagonista para registrar WhatsApp por primera vez en un smartphone nuevo, la aplicación envió el código de verificación al padre de la familia Cibernauta, que inocentemente compartió con los atacantes. Con él, pudieron tomar control de la cuenta, impidiéndole el acceso y exigiéndole un pago a cambio de devolvérsela.
¿Cómo prevenirlo?
Se trata de una técnica muy sencilla y que puede traernos más de un problema si no tenemos cuidado. Por suerte, no estamos indefensos y desde la OSI queremos compartir con los usuarios una serie de medidas que evitarán que caigamos en la trampa:
- No compartir el código de verificación. Nadie debería pedírnoslo, pero si lo hacen, debemos desconfiar.
- Activar la verificación en dos pasos. WhatsApp dispone de esta función con la que añadir una capa extra de seguridad y evitar que terceros puedan ingresar en nuestra cuenta. Para habilitar la función, deberemos:
- Ir a Ajustes (en Android) o Configuración (en IOS) / Cuenta / Verificación en dos pasos y Activar. A continuación, ingresaremos un código de 6 dígitos, que servirá como contraseña.
Envíanos tus vídeos, fotos, denuncias y noticias por WhatsApp (645 33 11 00)