Radiograf¨ªa de una estafa por WhatsApp: ¡°Es incre¨ªble porque usaban sus palabras, como amore y nena¡±

Una mujer de 52 a?os est¨¢ a punto de tomar un avi¨®n desde EE UU a Espa?a. En la sala de espera, resuelve atareada asuntos de trabajo en varios chats simult¨¢neos de WhatsApp. De repente, su marido, al lado, le oye decir: ¡°Vaya esta la que me ha liado aqu¨ª con el WhatsApp. Le voy a echar una bronca, me ha dejado colgada. Una amiga me ha pedido que le mande un c¨®digo para verificar y ahora no me funciona el WhatsApp y tengo que seguir currando¡±, dijo, seg¨²n recuerda.

El mensaje no era, claro, de la amiga, sino de un usurpador que le hab¨ªa robado el uso de WhatsApp. Incluso antes de subir al avi¨®n, varios amigos escribieron al marido: ¡°Oye, que me ha escrito tu mujer y me est¨¢ pidiendo dinero, pero no puede hablar¡±, dice. Durante el vuelo, el estafador escribi¨® a docenas de amigas y compa?eros de las v¨ªctimas con distintas peticiones de dinero: ¡°Algunos certificaban que ya hab¨ªan mandado el dinero¡±, recuerda el marido. Han calculado que el dinero robado pudo rondar los mil euros de tres personas que picaron. Los estafadores llegaron a pedir 2.500 euros a algunos amigos, pero a la mayor¨ªa eran unos pocos cientos. EL PA?S ha visto pantallazos y detalles del caso, pero no da los detalles personales de las v¨ªctimas porque as¨ª lo han pedido para no a?adir m¨¢s problemas a su situaci¨®n.

La sorpresa en este asunto, y lo que hizo a algunas amigas acudir a las redes sociales a denunciarlo, fue que el usurpador parec¨ªa hablar como la v¨ªctima: ¡°Hola nena, est¨¢s muy ocupada?¡±, le escribi¨® a una. ¡°Amore necesito realizar un pago¡±, a otra. ¡°Es incre¨ªble porque usaban sus palabras. Ni idea de c¨®mo lo hacen, pero lo bordan¡±, explica a este peri¨®dico una amiga que recibi¨® los mensajes. ¡°Es que parece una IA, parece una persona¡±, a?ade. Es probablemente una persona.

Los ciberataques de todo tipo se han disparado en los ¨²ltimos a?os. Su crecimiento y complejidad es tal que tiene desbordados a los agentes policiales. Las variantes no paran de crecer y a veces es dif¨ªcil entender qu¨¦ ocurre y c¨®mo puede ser. Este caso sirve para desentra?ar con ayuda de expertos qu¨¦ pudo haber ocurrido en un escenario como este y qu¨¦ puede hacerse para evitarlo o al menos minimizar el golpe.

La parte m¨¢s fascinante del ataque es el uso de palabras clave en los nuevos mensajes. ?Es posible que los atacantes automaticen los mensajes con un ChatGPT para agilizar los mensajes y tratar de estafar m¨¢s dinero? Es posible, pero es improbable, cree Mart¨ªn Vigo, fundador de Triskel Security y presentador del podcast Tierra de hackers. ¡°Veo un poco complicado automatizarlo. Lo tendr¨ªas que automatizar externamente porque no puedes automatizar una app. Y en el WhatsApp de escritorio, pues tendr¨ªas que utilizar algo externo, algo que te mueva el rat¨®n, pero no es que con un programa de Python vas y te lo haces¡±, explica Vigo.

¡®?Qu¨¦ pasa crack?¡¯

?Entonces c¨®mo lo hacen? A mano, con copia y pega, cree Vigo. ¡°Aunque gastes 10 segundos m¨¢s, lo haces m¨¢s eficiente al mirar el mensaje anterior¡±, dice, y detalla el proceso: ¡°Ya controlo el WhatsApp. Voy a empezar a enviarle los links de pago a la gente. Miro los tres o cuatro mensajes anteriores y en seguida veo el t¨ªpico saludo de cuando empiezas un mensaje. ¡®Hola, t¨ªo, qu¨¦ pasa, crack? Qu¨¦ tal?¡¯ Y solo pongo eso y ya copiapego el resto desde el bloc de notas¡±. ¡°No creo que est¨¦ automatizado sobre todo tambi¨¦n porque hay esa parte de dificultad de automatizarlo por ser una app cerrada. No es un programa de Python¡±, a?ade.

?C¨®mo evitar esto? ¡°Hay que tener una palabra que sirva de c¨®digo o preguntar algo que solo esa persona pueda saber: ?d¨®nde fuimos el a?o pasado de vacaciones?, por ejemplo¡±, dice Carlos Solano, responsable de la consultora Ardiciber, especializada en v¨ªctimas de ciberestafas. Otras opciones r¨¢pidas, como hicieron en este caso, es pedir un audio o escribir a alguien que sepas que est¨¢ con la v¨ªctima, en este caso el marido.

Esto solo explica una parte de la estafa: el intento del robo del dinero. Pero antes el usurpador tiene que haber accedido al WhatsApp de la amiga de la v¨ªctima, un proceso que s¨ª puede mecanizarse. ¡°Es lo que hace la gente de ransomware, tiene automatizado toda la parte de penetrar dentro del per¨ªmetro. Los emails de phishing automatizados, el escaneo de puertos automatizado, la identificaci¨®n de vulnerabilidades automatizada. Cuando entran se pone un tipo al teclado y empieza a hacer las cosas porque automatizar absolutamente todo es dif¨ªcil¡±, dice Vigo.

?C¨®mo puede robarse una cuenta de WhatsApp? Hay un mont¨®n de maneras. Al contrario que en una red social normal, donde tenemos un nombre o email de identificador y una contrase?a, en WhatsApp el identificador es el n¨²mero y puede registrarse con un c¨®digo de seis cifras que recibe ese n¨²mero. As¨ª que una vez se sabe el n¨²mero de la v¨ªctima, solo hay que obtener el c¨®digo.

En este caso lo interesante es que el atacante accedi¨® a un n¨²mero y, en lugar de quemarlo pidiendo en seguida dinero a los contactos, lo us¨® para moverse horizontalmente y acceder a otros n¨²meros. Con su nombre y n¨²mero ped¨ªa el c¨®digo de seis cifras a sus amigas, que se lo daban sin pensar mucho. As¨ª los criminales pod¨ªan multiplicar sus opciones de llegar a m¨¢s v¨ªctimas propicias. Es probable incluso que observara la actividad y al ver que la v¨ªctima planeaba un vuelo largo de avi¨®n, decidiera que era el momento propicio para atacar.

Vigo ide¨® en 2018 un modo de hackear el buz¨®n de voz para obtener el c¨®digo que WhatsApp mandaba por llamada en lugar de por SMS. En Brasil se us¨® cientos de veces para acceder a tel¨¦fonos, incluso de pol¨ªticos. Otro modo de automatizarlo es con ingenier¨ªa social, con un mensaje del tipo: ¡°Perdona me he equivocado y te ha llegado a ti el c¨®digo, ?me lo puedes pasar?¡±. ¡°Esto se automatiza si tienes una lista de n¨²meros, vas registrando autom¨¢ticamente WhatsApp y a los 20 segundos mandas ese mensaje. Si contestan con el c¨®digo ya est¨¢. Lo puedes hacer con mil tel¨¦fonos y no cuesta mucho dinero¡±, relata Vigo.

Una variante de este m¨¦todo con ingenier¨ªa social es usar la empresa propietaria de WhatsApp, Meta: ¡°Hay un tipo de ataque donde te dicen ¡®Somos del departamento de ciberseguridad de Meta, le mandamos un c¨®digo de seis d¨ªgitos para que se reactive su WhatsApp¡±, explica Solano.

Otros modos m¨¢s complejos, pero m¨¢s factibles si la v¨ªctima es conocida, son a trav¨¦s de una p¨¢gina web donde haya un formulario. Al registrarte te pide una autenticaci¨®n doble y que requiere un SMS. Ese SMS, en lugar de provenir de esa p¨¢gina web falsa, es el de Meta para registrar tu n¨²mero en WhatsApp. Cuando lo metes en la p¨¢gina se lo est¨¢s dando a los usurpadores. Tambi¨¦n puede hacerse por la versi¨®n web de WhatsApp si se deja abierto en un lugar p¨²blico: ¡°Me voy a tomar algo contigo, veo el pin de tu n¨²mero, vas al ba?o y en un minuto entro en tu Whatsapp. En mi propio m¨®vil voy a la web, me sale un c¨®digo QR, lo escaneo con tu tel¨¦fono y tengo acceso a tu WhatsApp con todas tus conversaciones. Que es lo m¨¢s interesante, porque puedo ver lo que escribes, escribir por ti, lo que quiera¡±, explica Vigo.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.