Se ha reportado un nuevo método para el robo de información que afecta a WhatsApp a través de código MMI, que permitiría a un atacante secuestrar la cuenta de WhatsApp y obtener acceso a los mensajes y listas de contactos.
Este método consiste en el desvío de llamadas a un número de teléfono diferente al inicialmente marcado, y la utilización malintencionada de la opción de WhatsApp para enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz, basándose en el servicio automatizado de los operadores móviles. La ejecución de este método permite a los atacantes secuestrar la cuenta de WhatsApp en pocos minutos, pero necesita el número de teléfono del objetivo para previamente realizar ingeniería social.
Los códigos MMI comienzan con asteriscos (*) o numeral (#), estimándose que el número de 10 dígitos pertenece al atacante, y que el código MMI delante de él le indica al operador de telefonía móvil que reenvíe todas las llamadas a un número de teléfono especificado.
La manera de ejecución es:
- Primeramente, convenciendo a la víctima a realizar una llamada a un número con código Man Machine Interface (MMI) configurado para el desvío de llamadas.
- Minutos de haber realizado tal llamada, WhatsApp se cierra, dando acceso de la cuenta al atacante.
- Una vez que el acceso fue obtenido, el atacante escoge la opción de recibir la OTP a través de una llamada de voz.
- Al obtener el código OTP, registra la cuenta de cuenta de WhatsApp de la víctima en su dispositivo, pudiendo incluso habilitar la verificación en dos pasos (2FA), lo que evitaría que los propietarios reales recuperen el acceso.
Para hacer frente a esta amenaza se recomienda la activación de “Verificación en dos pasos” en WhatsApp, ya que este solicitará PIN cada vez que se requiera registrar un teléfono, para ello se debe:
- Abrir Ajustes de WhatsApp.
- Ir a Cuenta > Verificación en dos pasos > Activar.
- Ingresar un PIN de seis dígitos y confírmalo.
- Proporcionar una dirección de correo electrónico a la que tengas acceso o tocar Omitir si no quieres añadir esta dirección. Es recomendado añadir una dirección de correo electrónico ya que esta te permite restablecer la verificación en dos pasos y ayudar a proteger tu cuenta.
- Clic en Siguiente.
- Confirmar la dirección de correo electrónico, clic en Guardar y finalmente OK.
Nota: El PIN de la verificación en dos pasos es distinto del código de registro de 6 dígitos que recibes por mensaje SMS o llamada. Adicionalmente, se recomienda añadir una dirección de correo electrónico para casos en donde el PIN es olvidado, en caso de no proporcionar el correo se deberá esperar 7 días para restablecerlo.
Referencias: