¡Cuidado! La Policía alerta del 'secuestro de WhatsApp' a través del código de verificación
Se trata de un ataque que se está haciendo cada vez más popular
WhatsApp es una de las aplicaciones de mensajería instantánea más utilizada en todo el mundo, lo que la convierte en un objetivo para muchos ciberdelincuentes. El secuestro de cuentas de WhatsApp es una de las últimas técnicas utilizadas por los atacantes para el robo de datos, tal y como alerta la Oficina de Seguridad del Internauta y la Policía Nacional.
En un artículo informativo, la OSI advierte sobre un tipo de ataque que poco a poco se está haciendo cada vez más popular, y que es conocido como el "secuestro de WhatsApp". Este tipo de ataque se basa en la ingeniería social, para el que los ciberdelincuentes solo necesitan un smartphone con la aplicación instalada y el número de teléfono de su víctima. Como WhatsApp solo permite tener un perfil por número de teléfono, los ciberdelincuentes se las arreglan para conseguir el código de verificación y secuestrar así la cuenta. Luego, pedirán un pago a cambio de devolver el acceso al dueño.
¡Mucho ojo ?! Si alguien te pide el código de verificación de #WhatsApp que ha llegado a tu móvil, NO lo hagas y desconfía... podrías estar poniendo en #riesgo tu aplicación de mensajería ?
— Policía Nacional (@policia) January 12, 2021
➡️https://t.co/rxFShsLg20 pic.twitter.com/oXPNIYT1Uy
¿Cómo llevan a cabo el secuestro?
Para ejemplificarlo mejor, la Oficina de Seguridad del Internauta, pone un ilustrativo caso ficticio, pero que podría ser real:
El padre de la familia Cibernauta se encontraba en su trabajo cuando una notificación llamó su atención. Era un SMS donde WhatsApp le compartía su código de verificación para reactivar la cuenta. Su confusión no duró mucho, pues un amigo suyo le mandó un mensaje poco después, explicándole que acababa de comprarse un smartphone nuevo y al instalar la app algo fue mal y no consiguió vincular su número de teléfono, por lo que decidió utilizar el de nuestro protagonista. En el mensaje, también le pedía si podía reenviarle el código para activarlo y actualizar el número.
El padre de la familia, inocentemente, le compartió el código de verificación que WhatsApp le había enviado, sin ser consciente de que realmente estaba regalando el control de su cuenta. Minutos más tarde, volvió a recibir un SMS donde los atacantes le explicaban que su cuenta había sido secuestrada y si quería recuperarla debía pagar el rescate.
Pero ¿cómo es esto posible? La respuesta es muy sencilla, los atacantes habían suplantado el número de teléfono de uno de sus contactos, que posiblemente hubiesen conseguido a través de un método similar. Luego, tras ingresar el número de teléfono de nuestro protagonista para registrar WhatsApp por primera vez en un smartphone nuevo, la aplicación envió el código de verificación al padre de la familia Cibernauta, que inocentemente compartió con los atacantes. Con él, pudieron tomar control de la cuenta, impidiéndole el acceso y exigiéndole un pago a cambio de devolvérsela.
¿Cómo podemos prevenirlo?
La OSI recalca que "se trata de una técnica muy sencilla y que puede traernos más de un problema si no tenemos cuidado". Para evitarlo, hay que seguir dos medidas que evitarán que caigamos en la trampa:
1. No compartir el código de verificación.
Nadie debería pedírnoslo, pero si lo hacen, debemos desconfiar.
2. Activar la verificación en dos pasos.
WhatsApp dispone de esta función con la que añadir una capa extra de seguridad y evitar que terceros puedan ingresar en nuestra cuenta.
Para habilitar la función, deberemos: Ir a Ajustes (en Android) o Configuración (en IOS) / Cuenta / Verificación en dos pasos y Activar. A continuación, ingresaremos un código de 6 dígitos, que servirá como contraseña. Después, nos solicitará un correo electrónico para añadir mayor seguridad a la función. Con esto, tendremos habilitada la función con la que evitaremos el secuestro de nuestra cuenta.
¿Qué podemos hacer si nos han secuestrado la cuenta?
Si hemos sido víctimas de este tipo ataque y nuestra cuenta de WhatsApp ha sido robada, lo primero que debemos recordar es que pagar no es la solución. Además de no tener la seguridad de que vayan a devolvernos la cuenta, estaríamos alimentando estas prácticas delictivas.
Desde la OSI recomiendan que trates de contactar con los administradores de la aplicación para intentar recuperar el control de tu cuenta, aunque es un proceso que puede durar algunos días. Por otro lado, puedes contactar con tu proveedor para realizar un cambio de número, aunque no será la opción más deseable. Por último, se puede denunciar esta situación a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o llamando a Línea de Ayuda en Ciberseguridad, 017.
