As¨ª pueden robarnos WhatsApp: para qu¨¦ lo quieren y c¨®mo protegerse

¡°Hola, pap¨¢, he perdido el m¨®vil y te escribo desde este nuevo n¨²mero ?Me puedes enviar dinero? Estoy en un apuro¡±. As¨ª arranca la conocida estafa del hijo en apuros, que sigue circulando por los m¨®viles en Espa?a y, m¨¢s all¨¢ del dinero, uno de los botines que persiguen los atacantes es la cuenta de WhatsApp del titular. La aplicaci¨®n de mensajer¨ªa ...

¡°Hola, pap¨¢, he perdido el m¨®vil y te escribo desde este nuevo n¨²mero ?Me puedes enviar dinero? Estoy en un apuro¡±. As¨ª arranca la conocida estafa del hijo en apuros, que sigue circulando por los m¨®viles en Espa?a y, m¨¢s all¨¢ del dinero, uno de los botines que persiguen los atacantes es la cuenta de WhatsApp del titular. La aplicaci¨®n de mensajer¨ªa m¨¢s popular del mundo sigue siendo el blanco principal de los ciberataques, alcanzando casi el 90% del total, seg¨²n un estudio publicado por la compa?¨ªa de seguridad inform¨¢tica Kaspersky.

?Por qu¨¦ WhatsApp? ¡°Si se consigue una cuenta de WhatsApp, se tiene un acceso con credibilidad a todo el espectro de amigos, familiares y compa?eros de trabajo¡±, explica Fernando Su¨¢rez, presidente del Consejo General de Colegios de Ingenier¨ªa en Inform¨¢tica, y esta credibilidad puede desencadenar una petici¨®n de dinero, datos personales ¡°o hasta fotos, que son luego empleadas para extorsionar a la v¨ªctima¡±.

La estafa del hijo en apuros, en muchas ocasiones, es empleada para solicitar una entrega de dinero mediante Bizum, PayPal o incluso una transferencia bancaria. Esta t¨¦cnica aprovecha la vulnerabilidad de un padre que da por cierta una presunta situaci¨®n de emergencia de su hijo y procede al pago sin dudarlo. Si bien esta t¨¦cnica se emplea inicialmente desde una l¨ªnea de un tercero, cobra m¨¢s veracidad y credibilidad si el mensaje proviene de la propia cuenta de WhatsApp del remitente.

Y es que, una vez que tienen el control de la cuenta, los atacantes pueden escribir desde la misma a los contactos de la v¨ªctima solicit¨¢ndoles dinero abiertamente, como en la mencionada estafa, o bien m¨¢s informaci¨®n de car¨¢cter personal que luego puede ser empleada para extorsionar al titular de la cuenta. La sofisticaci¨®n de los atacantes llega incluso al empleo de sintetizadores de voz para emular el tono del titular de cara a enviar audios: ¡°Los ciberdelincuentes utilizan la cuenta comprometida para solicitar transferencias de dinero a los contactos de la v¨ªctima, incluso utilizando tecnolog¨ªas de inteligencia artificial para imitar la voz de la v¨ªctima¡±, informa Kaspersky.

De la misma manera, quien tenga el control de la cuenta tiene acceso a material gr¨¢fico y v¨ªdeos, tanto recibidos como enviados, que pueden ser luego empleados como coacci¨®n para solicitar dinero.

C¨®mo es el ataque a la cuenta

Lo primero que hay que tener claro es que WhatsApp, como el resto de plataformas de mensajer¨ªa, cuenta con un sistema de verificaci¨®n en dos factores. Esto es, hace falta contar con un c¨®digo temporal (conocido como token), que es enviado al m¨®vil registrado en la cuenta para acceder a ella. Esto lo experimentan quienes compran nuevos terminales, cuando intentan configurar WhatsApp en el m¨®vil reci¨¦n adquirido. Un ciberatacante puede conocer el n¨²mero de tel¨¦fono de la v¨ªctima ¡ªlos n¨²meros est¨¢n disponibles en la dark web o foros dedicados, debido a filtraciones y vulnerabilidades¡ª, pero le falta el citado token para poder hacerse con el control de la cuenta.

Por eso, cuando se lleva a cabo el ataque, la v¨ªctima recibir¨¢ primero un SMS oficial de WhatsApp con el mencionado c¨®digo temporal, y es aqu¨ª donde todo sucede muy r¨¢pido. Inmediatamente, los hackers contactar¨¢n con la v¨ªctima haci¨¦ndose pasar por un amigo o familiar, indicando que, por error, introdujeron su n¨²mero de tel¨¦fono y necesitan ese c¨®digo recibido. Si la v¨ªctima se lo indica, junto con el c¨®digo de seguridad adicional, habr¨¢ perdido el control de la cuenta y se habr¨¢ consumado el ataque.

Qu¨¦ hay que hacer para proteger la cuenta

Como suele suceder en otros ataques que emplean t¨¦cnicas de phishing, los hackers emplean el factor humano, que es el eslab¨®n m¨¢s d¨¦bil de toda la cadena de protecci¨®n. Para reforzarlo, los expertos recomiendan adoptar las siguientes medidas:

• Desconfiar de las peticiones por mensaje. ¡°Es importante mantenerse alerta y desconfiar de cualquier mensaje que solicite informaci¨®n personal o hacer clic en enlaces, incluso si parece provenir de un contacto conocido¡±, recomienda la multinacional Kaspersky. Los ataques son cada vez m¨¢s sofisticados y es f¨¢cil bajar la guardia, cuando se cree que es un familiar o amigo quien nos escribe. A esto mismo se refiere Su¨¢rez, quien habla de una ¡°voluntad previa de la v¨ªctima¡± para alertar de que ¡°nadie recibe un c¨®digo en el m¨®vil si no lo ha solicitado antes¡±. De la misma manera, nunca se debe hacer clic en un v¨ªnculo si no se est¨¢ al cien por cien seguro de su procedencia. ¡°En general, hay que desconfiar de cualquier mensaje que pida informaci¨®n que a priori pueda parecer rara y, en la medida de lo posible, se debe intentar verificar la identidad a trav¨¦s de una llamada de tel¨¦fono al contacto¡±, a?ade Jos¨¦ Luis D¨ªaz, director general de Advens Espa?a y Portugal.
• Contactar con el remitente por otro medio. Los ciberatacantes suelen intentar enga?ar a sus v¨ªctimas haci¨¦ndose pasar por familiares o amigos; si esto sucede, una buena soluci¨®n es ponerse en contacto con ellos por otro medio ¡ªuna llamada de tel¨¦fono puede bastar¡ª, para verificar si esa comunicaci¨®n es real o no.
• Activar la verificaci¨®n en dos pasos. WhatsApp incluye una amplia lista de recomendaciones de seguridad para proteger la cuenta al m¨¢ximo. Entre ellas, resulta imprescindible asegurarse de tener activada la verificaci¨®n en dos pasos (dentro de la propia app, en Configuraci¨®n > Cuenta > Verificaci¨®n en dos pasos). Al activarla, la plataforma pide crear un PIN de seis d¨ªgitos y, por si el usuario lo olvida, da la opci¨®n de a?adir una cuenta de correo electr¨®nico para poder recuperarlo.
• Emplear antimalware y tener el dispositivo actualizado. El uso de antivirus en el m¨®vil siempre ha sido motivo de controversia, sobre todo en el iPhone, pero supone una capa adicional de seguridad para detectar el malware: funciona analizando y detectando enlaces que puedan llegar a trav¨¦s de WhatsApp. Mantener actualizados tanto la app de WhatsApp como el sistema operativo del tel¨¦fono, tambi¨¦n garantizan que las ¨²ltimas vulnerabilidades sean atendidas.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.