En el mundo de la piratería informática no siempre hacen falta complicados sistemas de descodificación para robar datos personales de miles de usuarios. Un timo tan sencillo como el del código de WhatsApp ha conseguido robar durante años las cuentas de miles de usuarios en España.
Cada cierto tiempo surge una nueva campaña que recurre a este truco para engañar a sus víctimas. La compañía de seguridad ESET, alerta que recientemente se ha vuelto a activar la estafa en la aplicación de mensajería, por lo que debemos estar alerta.
El timo comienza con un SMS con un código de 6 dígitos que envía a tu teléfono la aplicación de WhatsApp. Caer en la trampa es muy sencillo, pero también puede serlo evitar el engaño si se conoce el truco y se está alerta.
¿Cómo roban las cuentas?
Los SMS con códigos numéricos no son una novedad en esta aplicación de mensajería. Este sistema verifica la identidad de la persona que quiere acceder a su cuenta de WhatsApp desde un móvil nuevo.
Cuando se cambia de móvil, los usuarios deben hacer una copia de seguridad de todas sus conversaciones y archivos en la nube, instalar la aplicación en el nuevo terminal e indicar su número telefónico. WhatsApp envía el SMS para que el usuario introduzca en la app el código recibido y así comenzar a usar de nuevo los chats tras haber descargado la copia que se ha hecho previamente.
Si el código cae en malas manos, otra persona puede abrir la cuenta en un teléfono cualquiera y robar todas las conversaciones privadas y los datos del propietario de esa cuenta. Por eso, este código nunca se debe dar a nadie, ni siquiera a la persona en la que más confías.
La confianza es la clave del timo. Tras recibir el SMS con el código, que el usuario en este caso no ha solicitado pues no se ha cambiado de móvil, recibe un mensaje de un amigo o cualquier persona de confianza pidiéndole el código.
En realidad, la persona al otro lado del teléfono no es la que la víctima conoce, la cuenta de tu amigo ha sido previamente hackeada. Los ciberdelincuentes, roban una cuenta o teléfono con otros métodos, registran los números de la lista de contactos y comienzan a darle esos números a WhatsApp para que la aplicación envíe el código por SMS pensando que se trata del usuario que quiere cambiar de móvil.
Evidentemente, el SMS se manda al terminal donde está integrada la tarjeta SIM vinculada a ese teléfono. Aquí es donde los delincuentes se hacen pasar por ese contacto para que la futura víctima confíe y les dé el código. "Los delincuentes son conscientes de que sus víctimas confían en sus contactos y muchos de ellos no ven motivos para sospechar de un mensaje así, si el que lo envía es una persona de confianza", recalcan desde la compañía.
Las consecuencias del robo
En el momento en que se comparte el código, los ciberdelincuentes lo integran en su aplicación de WhatsApp para que se abra la cuenta robada ante ellos. Así tienen acceso a una nueva lista de contactos y números de teléfono para seguir robando en cadena.
Inmediatamente, la víctima es expulsada de la aplicación, pues WhatsApp solo permite utilizar sus servicios desde un dispositivo principal y vincular esa cuenta a otros dispositivos mediante un código QR que se debe leer con la aplicación. Los chats desaparecen en todos los dispositivos en los que la persona había vinculado la cuenta.
Hay que tener en cuenta la cantidad de información personal que se puede compartir por los chats, datos que pueden servir a los hackers para provocar aún más daño. Podrán enviar enlaces o archivos con malware, incluso lanzar ataques dirigidos a alguno de los contactos haciéndose pasar por nosotros para que proporcione información confidencial.
¿Cómo recuperar WhatsApp?
Pero, si ya se ha caído en la trama, ¿cómo se debe actuar? Para revertir el robo, en el momento en el que se expulsa al propietario legítimo de la cuenta, esta persona debe desinstalar la aplicación y volver a instalarla. Al abrirla indicamos el número de teléfono para que WhatsApp vuelva a mandarnos un SMS con un código nuevo, que esta vez no compartiremos con nadie.
Introducimos el código y recuperamos la cuenta, WhatsApp expulsará inmediatamente a los ciberdelincuentes. Si se ha hecho con la suficiente rapidez, puede que el desastre no sea tan grande.
Otra opción que ofrece WhatsApp es denunciar el robo mandando un email al soporte de WhatsApp con la frase "Teléfono robado/extraviado: Por favor, desactiva mi cuenta" adjuntando el número de teléfono incluyendo el código internacional del país, que en el caso de España es el +34. La aplicación desactiva la cuenta para que los delincuentes no puedan acceder a ella, y se dan 30 días de plazo para tratar de recuperarla solicitando el código de recuperación.
Protege tu cuenta
Evitar llegar a esta situación es más fácil de lo que pueda parecer. Todo el mundo puede ser víctima en algún momento de un ataque informático, no creerse inmune a estas trampas es un primer paso para estar más alerta, pues los atacantes cada día diseñan métodos más elaborados para engañar a los usuarios.
Estar informado de las últimas técnicas de ataques es también una forma efectiva de reconocer cuando se está ante una estafa, una oferta demasiado jugosa e, incluso, no fiarse de los amigos.
En último lugar, desde ESET recomiendan activar el sistema de verificación en dos pasos que ha habilitado WhatsApp. Aunque los delincuentes consigan el código SMS, WhatsApp requerirá una segunda verificación con un PIN que tú mismo eliges y que tampoco debes compartir con nadie. El proceso es el siguiente: Ajustes > Cuenta > Verificación en dos pasos.
También te puede interesar...
- Siete ajustes de WhatsApp que debes usar ya para una mejor privacidad
- WhatsApp ya tiene fotos y vídeos que se destruyen al verse: así lo puedes usar
- El truco de WhatsApp para descargar los estados de otra persona