Recientemente han aparecido varios reportes de personas cuyas cuentas de Whatsapp han sido «secuestradas», tanto a nivel nacional como internacional. Es decir, un ciberatacante ha registrado el número telefónico de la víctima en la aplicación Whatsapp de otro SmartPhone, y como la aplicación de mensajería instantánea solo permite una sesión activa por SmartPhone, la víctima pierde el acceso a su cuenta.
¿Cómo ocurre esto?
En realidad, se trata de técnicas de ingeniería social, que aprovechan el mecanismo de verificación de la propia aplicación Whatsapp: El ciberatacante instala la aplicación Whatsapp en un SmartPhone y al momento de introducir el número de teléfono para esa cuenta, introduce el número de la víctima a la que quiere «secuestrar» su sesión. Whatsapp envía un SMS de verificación al número de teléfono de la víctima, pero el registro no se completará hasta tanto el cibercriminal haya introducido el código de verificación correcto que fuera enviado al teléfono de la víctima.
Por ello, los ciberatacantes emplean diversas técnicas, una nueva técnica se trata de un supuesto organizador de un evento VIP que llama a la víctima para decirle que ha ganado entradas grartis para un concierto o espectáculo, algo que suele ser muy atractivo. El ciberatacante luego dice que le envió un código SMS a la víctima y le pide que le comparta los seis números recibidos para confirmar las entradas. Otro ejemplo, es la llamada donde el ciberatacante se identifica como funcionario de la operadora telefónica de la víctima y ofrece ciertos productos por ser un buen cliente, y para completar el proceso el ciberatacante solicita el envío del código. Los ciberatacantes se ingenian con la forma de engañar a la víctima para obtener el código.
Sin embargo, lo que la víctima no sabe es que en realidad esos seis números son el código de verificación de su cuenta de WhatsApp y, al compartir ese código, el ciberatacante tomará control de la cuenta de WhatsApp de la víctima.
A su vez se ha identificado varios casos en los que las cuentas secuestradas han sido utilizadas para secuestrar las cuentas de WhatsApp de los contactos de sus víctimas. Sin embargo, esta práctica aún no es tan común como la invitación a un evento VIP, ya que requiere que el ciberatacante cree una técnica ingeniería social personalizada basada en el historial de mensajes con las posibles víctimas.
Otras técnicas empleadas por ciberatacantes
- Escaneo de código QR: Los ciberatacantes envían un enlace falso a las víctimas con promociones y/o artículos que pudieran ser de su interés, mencionando que para acceder a los beneficios citados deberán escanear el código QR a través de la aplicación de WhatsApp. Una vez que la víctima escanea el código QR muestra un mensaje de que accedieron a la promoción, y redirige al usuario víctima a otro sitio, mientras que el ciberatacante queda con una sesión abierta de la aplicación WhatsApp web de la víctima.
- Conexión con dispositivos de audios o cargadores a través de USB: Los ciberatacantes realizan una manipulación previa de estos dispositivos para agregar funciones a los mismos que le permitan solicitar a los SmartPhone acceder al contenido multimedia del mismo. Esto hace que en el SmartPhone del usuario víctima se visualice una advertencia en la que el usuario, al momento de conectar su SmartPhone por USB tiene que permitir o denegar la acción. En caso de que el usuario víctima deniegue la acción, el ataque es fallido y en el caso de que el usuario permita la acción el ciberatacante podrá acceder a la información multimedia de whatsapp (audio, fotos, entre otros datos).
- Acceso físico al dispositivo: Con acceso físico al dispositivo un ciberatacante podría remover el chip del SmartPhone, y colocar el chip en otro SmartPhone diferente de esta manera tendría todo lo necesario para activar WhatsApp en el nuevo Smartphone, y dado el caso recuperar atodos los mensajes, como así también obtener nuevos mensajes que se envíen a la cuenta afectada.
Cualquiera sea la técnica empleada, el ciberatacante podría obtener acceso a toda la información, contactos, imágenes y conversaciones disponibles en ella. Mientras que en algunos casos podría leer y enviar mensajes en su nombre, acceder a sus grupos, chantajear y pedir dinero a sus contactos, etc. Es más, para mantener el control de la cuenta, los ciberatacantes activan la autenticación de doble factor en la aplicación WhatsApp de las cuentas secuestradas que no la tenían configurada, lo que impide que la víctima recupere su cuenta.
¿Qué hacer si fuiste víctima del secuestro de cuenta en Whatsapp?
En el caso de ser una víctima del secuestro de la cuenta de Whatsapp, se debe primeramente bloquear la tarjeta SIM llamando a la operadora telefónica correspondiente, luego se debe enviar un correo electrónico a support@whatsapp.com solicitando la dar de baja la cuenta de Whatsapp, en el correo electrónico se debe detallar el número telefónico en formato internacional, por ejemplo +5959XXXXXXXX. Cómo último paso volver a activar la tarjeta SIM, proceder a registrarse en WhatsApp con el número de teléfono y verificar el número al ingresar el código de seis dígitos que ha sido enviado por SMS. Una vez ingresado el código la sesión del ciberatacante con acceso a tu cuenta se cerrará automáticamente.Es posible que Whatsapp solicite un código de verificación en dos pasos, en el caso de no poseer el mismo, se debe aguardar siete días para la verificación del número sin el código de verificación en dos pasos, para más información puede hacer click aquí.
Recomendaciones:
- Habilite la autenticación de doble factor. Este es un código de seis dígitos que el propietario de WhatsApp crea y necesita ingresar cada vez que instale la aplicación en un SmartPhone nuevo. Para activarlo, ingresa a Ajustes > Cuenta > Verificación en dos pasos y sigue las indicaciones. Para más información puede hacer click aquí.Solicite que su número sea eliminado de las listas de identificación de llamadas, los ciberatacantes utilizan estas listas para encontrar números de teléfono por nombre de usuario.
- No conecte su SmartPhone a dispositivos USB desconocidos o de terceros.
- No escanee códigos QR a través de la aplicación de Whatsapp, a menos que sea para su propio acceso a la aplicación de WhatsApp Web.
- No pierda de vista su SmartPhone.
Referencias: