WhatsApp es una de las aplicaciones de mensajería instantánea más utilizadas actualmente, razón por la cual son una atractiva tentación para que los ciberdelincuentes se atrevan a robar este tipo de cuentas, en buena medida, gracias a la cantidad de información que se envía y recibe a través del servicio propiedad de la firma Meta (anteriormente Facebook).
Cabe decir que, para lograrlo, los ciberdelincuentes se valen de diversos ataques por medio de la app, como cadenas engañosas en donde se promete un premio, o buscando robar las cuentas de los usuarios para aprovecharse de su información personal.
¿Cómo pueden robar mi cuenta?
El fraude comienza con una llamada a la víctima, donde los delincuentes se hacen pasar por representantes de alguna institución sanitaria y piden realizar una encuesta sobre Covid-19. Al finalizar las preguntas, el defraudador le pide a la víctima compartir el código que le será enviado a su celular para registrar su participación en la encuesta y evitar que la institución lo vuelva a llamar.
Toda la puesta en escena tiene un objetivo claro: hacer que la víctima comparta el código de seis números que se envía vía SMS, el cual en realidad es el código que WhatsApp envía para poder activar la aplicación en un teléfono nuevo. Si la víctima no presta atención al mensaje y entrega el código, su cuenta podría ser robada.
La novedad de la estafa surge cuando el delincuente se encuentra con que la cuenta de la víctima tiene habilitada la doble autenticación. Cuando esto sucede, el defraudador vuelve a llamar a la víctima, pero esta vez se hace pasar por el equipo de soporte de la aplicación de mensajería con el pretexto de que se ha identificado actividad maliciosa en la cuenta. La víctima recibe instrucciones de revisar su correo electrónico y buscar el mensaje con el enlace que le permitirá registrarse de nuevo en la doble autenticación.
Sin embargo, al hacer clic en el enlace, la protección de doble factor se deshabilita lo que les permite a los delincuentes, quienes ya cuentan con el código de activación temporal, robar la cuenta de la víctima.
Lo que más sorprendió a los expertos de Kaspersky es que la víctima recibe un mensaje de correo electrónico legítimo de WhatsApp titulado “Restablecimiento de la verificación de dos pasos” con un enlace que deshabilita esta protección. Al descubrir esto, Fabio Assolini, investigador senior de seguridad en Kaspersky, señala que la ingeniería social de los delincuentes ha alcanzado un nuevo nivel.
Otra estafa está relacionada con la actualización de WhatsApp. Los delincuentes informáticos están haciendo llegar a los usuarios un mensaje en donde aseguran que la app no está actualizada y es necesario corroborar que está en uso para seguir utilizándola.
El mensaje efectivamente parece venir el servicio técnico de la app. La imagen de contacto es el logo de la empresa y aparenta venir de un sistema automatizado.
En el mensaje se explica que WhatsApp hará llegar al celular un código de verificación de seis dígitos que debe compartiste si es que se quiere seguir gozando del servicio.
Efectivamente, unos segundos después de haber recibido la alerta vía WhatsApp, llega un SMS al celular de la potencial víctima con un código para confirmar la cuenta. En ese caso, el mensaje sí es enviado por la compañía por lo que el usuario confía en que le están diciendo la verdad y tiene que enviar esos seis números.
La realidad es que el delincuente pidió acceso a tu cuenta de WhatsApp en otro dispositivo. Solo tuvo que descargar la app y poner tu teléfono de celular, el elemento que le faltaba era el código de verificación para poder ingresar a tus chats y contactos.
Así puedes blindar tu cuenta de WhatsApp
- Activar la verificación en dos pasos. Para conseguirlo solo tienes que acudir a los Ajustes de WhatsApp y seleccionar Cuenta > Verificación en dos pasos. Ahí deberás pulsar Activar e introducir un número PIN de seis dígitos. Procura no usar tu fecha de nacimiento. Tiene que ser fácil de recordar pero difícil de averiguar.Ese PIN es único y deberás recordarlo ya que WhatsApp te lo solicitará cada cierto tiempo o cuando actives tu cuenta. Muy importante: el PIN de 6 dígitos de la verificación en dos pasos es diferente al código de verificación que envía WhatsApp por SMS o llamada.
La verificación en dos pasos es una medida efectiva contra el robo de cuentas, ya que el atacante no solo necesita el código de verificación de WhatsApp, sino también el PIN de seguridad. Si no lo introduce, no podrá usar la cuenta.
- Activar una contraseña en tu buzón de voz. Los pasos son diferentes para cada operadora, aunque el teléfono para activarlo es el mismo. Desde tu celular marca *86 y accede a la configuración. En caso que no hayas creado una contraseña, el sistema ofrecerá los pasos necesarios para activarla y acceder a tu buzón de voz.AT&T inicia la configuración cada que marcas al *86. Desconocemos si se trata de un bug, pero hemos registrado la contraseña y a los pocos días se reinicia el proceso. Si tienes una línea con Telcel tendrás que marcar la opción 3 y elegir activar o desactivar la clave personal en la opción 4 del siguiente menú.
¿Qué hacer si me roban la cuenta?
Si recibiste un SMS con el código de verificación sin solicitarlo es posible que alguien quiere acceder a tu cuenta. En caso que te hayan robado la cuenta repórtala a [email protected] y avísale a tus contactos para que no caigan en una posible estafa.
