Durante los últimos meses se ha detectado un aumento de ataques para robar las cuentas de WhatsApp por medio de varios SMS. Según la empresa de ciberseguridad española Panda Security, los ciberdelincuentes comienzan enviando un primer mensaje por medio de la propia WhatsApp a su víctima, en la que se hacen pasar por el equipo de soporte técnico de la compañía.
En el texto, los criminales indican que recientemente alguien ha registrado una cuenta de WhatsApp con el mismo número de teléfono de la víctima, con lo que podría ser «un inicio de sesión ilegítimo». Con el fin de «corroborar» que la persona con la que están hablando es la propietaria de esa cuenta, le piden que les reenvíe un código de seguridad que va a recibir en pocos minutos por medio de un SMS.
La argucia consiste en que, poco después, los mismos atacantes intentan iniciar una sesión con el número de teléfono de la víctima quien, acto seguido, recibe un SMS por parte de WhatsApp con un código de seguridad. Si la víctima envía ese código a los cibercriminales, pierde completamente el control de su cuenta y le está cediendo su usuario a los atacantes.
A partir de ahí, los ciberdelincuentes pueden comunicarse con toda la lista de contactos de la víctima sin que nadie pueda sospechar nada. De hecho, ahí se produce la posibilidad de que los piratas informáticos sigan perjudicando a su víctima, ya que suplantan su identidad para robar las cuentas de WhatsApp de sus contactos.
Siguiendo el mismo método, los hackers envían a todos las personas de su agenda un mensaje de WhatsApp diciéndoles que tienen problemas con su cuenta y que han pedido un código de seguridad por WhatsApp para que, por favor, se lo reenvíen. De este modo, con solo robar el acceso a una cuenta de WhatsApp, los atacantes pueden hacerse con otras muchas de una forma viral.
«Se trata de un ataque muy inteligente, porque los ciberdelincuentes se sirven de las propias medidas de seguridad de la compañía para convertirlas en una vulnerabilidad», destaca Hervé Lambert, Global Consumer Operations Manager de Panda Security.
La empresa de ciberseguridad apunta, asimismo, que resulta casi paradójico que, aunque WhatsApp es la plataforma más extendida para comunicarse a través de internet entre dispositivos móviles, la identidad de cada usuario está vinculada a su número de teléfono. Se trata de un identificador único que hace que la aplicación no pueda funcionar en más de un teléfono a la vez.
Por ello, cuando un usuario cambia su «smartphone» o reinstala la aplicación, WhatsApp necesita verificar por medio de un SMS que el dispositivo está vinculado con el del número de teléfono del usuario. Así, la plataforma envía un SMS de verificación con un código de seis dígitos que permite que WhatsApp funcione en ese aparato.
Por fortuna, en caso de que seamos víctimas de un robo de WhatsApp es que la aplicación no restaura ninguna copia de seguridad de los mensajes, pues estos se quedan en el «backup» del propio teléfono, no en la nube de WhatsApp.
Todo el mundo quiere «hackearlo»
Aun así, este no es el único método para robar cuentas de la famosa app de mensajería instantánea. Si se busca en internet «cómo hackear whatsapp» se encuentran cerca de 2,5 millones de resultados en menos de 0,4 segundos. Este elevadísimo número de páginas desvela que, pese a lo ilegal e inmoral que es espiar las conversaciones privadas de otra persona, hay muchas que lo intentan y, por tanto, otras muchas que lo consiguen. Se trata de un delito contra la privacidad que puede conllevar penas de entre uno y cuatro años de prisión y que, por desgracia, es más habitual de lo que se puede pensar.
La popularidad de esta «app» la ha convertido en el objetivo número uno de muchas redes organizadas de ciberdelincuentes. Pero, también, es algo que intentan «hackers amateur» que ni siquiera saben la gravedad que supone interceptar una conversación privada en cualquier aplicación.
Por eso, hay que tener en cuenta ciertas medidas de prevención en el uso de la propia aplicación si se quieren evitar ojos indiscretos. Además de contar con un antivirus que vele por la totalidad de tu seguridad digital, no solo la de un único dispositivo o una única app, es importante contar con la autenticación en dos pasos que, por ejemplo da WhatsApp.
Por otro lado, si usas Whatsapp en el ordenador, ya sea por medio de la «app» como por un navegador, asegúrate de que tu pc cumple los mismos requisitos de seguridad de tu móvil.
Hay que tener en cuenta que la pantalla del móvil se bloquea con el paso de muy poco tiempo. Sin embargo, los ordenadores personales pueden permanecer encendidos durante horas sin que sea necesario utilizar una contraseña o autenticación de seguridad. Por tanto, si no se usan las mismas medidas en el ordenador que en el móvil, si dejamos nuestro PC desantendido durante unos minutos, estamos dejando la puerta abierta a una brecha importante en nuestra seguridad.