El robo se lleva a cabo engañando a la víctima para que suministre su propio código de verificación de WhatsApp. Esta clave permite activar la cuenta de WhatsApp en un dispositivo nuevo, que la app envía vía SMS. Si un tercero accede a él podrá secuestrar el perfil de WhatsApp del destinatario, mandar mensajes a los chats activos o interactuar en los grupos para mandar enlaces fraudulentos. “Como es un contacto conocido el que nos pide el código, no nos hace desconfiar. Pero ese contacto, a su vez, también había sido víctima del fraude. Es un ataque en cadena”, detalla Ruth García, del Instituto Nacional de Ciberseguridad (Incibe).
Este tipo de ciberataque no es nuevo, pero se ha intensificado. “En las últimas semanas estamos viendo un repunte de este fraude”, avisa la experta, técnico del área de Ciberseguridad para Ciudadanos del organismo. “Hay un número creciente de usuarios que nos están reportando que se han visto afectados por el secuestro de sus cuentas. Ahora mismo estamos en una tendencia al alza, no sabemos lo que podría durar”.
Uno de los objetivos del ataque es replicarse, es decir, reenviar la solicitud del código de verificación a otros contactos próximos de la víctima y robar sus cuentas. Más allá de eso, los fines pueden ser múltiples y el Incibe no ha detectado que la campaña de fraudes persiga uno en concreto.
Una vez que hackean la cuenta, se puede aprovechar para enviar enlaces a páginas fraudulentas, para hacer phishing, sorteos fraudulentos, suplantaciones de identidad, robo de datos bancarios
“Una vez que hackean la cuenta, se puede aprovechar para enviar enlaces a páginas fraudulentas, para hacer phishing, suplantaciones de identidad, robo de datos bancarios…”, enumera García. “También pueden utilizar tácticas de ingeniería social para sonsacar información a la víctima con la que luego extorsionarla”, añade.
En último extremo, también se puede utilizar este tipo de secuestro de la cuenta de WhatsApp para realizar un ataque dirigido a una persona en concreto. El fin puede ser hacerse con información confidencial que los atacantes sepan que está en posesión de esa persona, o reclamar un pago por la recuperación de la cuenta. No obstante, estas son situaciones excepcionales, expone García: “En la mayoría de los casos que estamos viendo ahora mismo el ataque no se produce porque seas una persona concreta sino porque has resultado ser una víctima más”.
Como en todos los ciberfraudes, la recomendación de todos los especialistas es no pagar nunca ni aceptar ningún tipo de extorsión, puesto que casi siempre existe la manera de recuperar la cuenta.
Cómo recuperar la cuenta de WhatsApp
Bloquear el acceso de terceros a la cuenta de WhatsApp requiere el mismo proceso que el ataque utiliza para secuestrarla: solicitar a la app un código de verificación desde el teléfono del propietario original. Este llegará vía SMS y deberá introducirse en la aplicación. “El código es único y cambia cada vez que verificas un número de teléfono o un dispositivo nuevos”, explica WhatsApp, quien da instrucciones específicas para teléfonos Android y para teléfonos iPhone.
“Ten en cuenta que WhatsApp proporciona cifrado de extremo a extremo y los mensajes se almacenan en tu dispositivo, de manera que si alguien accede a tu cuenta en otro dispositivo no podrá leer tus conversaciones pasadas”, recuerda la compañía.
El código de verificación no debe ser compartido con nadie por ningún motivo, “ni siquiera con tus familiares o amigos”, pide WhatsApp. En caso de haberlo hecho, incluso aunque no se haya detectado ningún comportamiento extraño en la cuenta personal, es recomendable solicitar un nuevo código e introducirlo en la app como medida de seguridad.
A LOS BIFES
-
SANTA ROSA: UNA PELEA ENTRE CHICAS TERMINÓ CON UNA DE ELLAS MUTILADA: “LE ARRANCÓ UN PEDAZO IMPORTANTE DE OREJA Y NO SE LA PUDIERON PEGAR”
-
MILEI IMPULSA UN NUEVO CÓDIGO PENAL CON PENAS MÁS DURAS Y SIN PRESCRIPCIÓN PARA DELITOS GRAVES
-
REALICÓ: UN POLICÍA LE SALVÓ LA VIDA A UN NENE DE 5 AÑOS QUE SE HABÍA ATRAGANTADO CON UNA BOLITA
