La aplicación más importante de mensajería se ha visto recientemente atacada de una forma no antes vista. Con la verificación de dos pasos –que debería dar seguridad- los ciberdelincuentes lo están aprovechando para cometer sus fraudes. Los crímenes en WhatsApp no son algo nuevo, en el pasado se ha visto cómo usan la aplicación para estafas, valiéndose de tácticas como anuncios, invitaciones, premios, eventos y clonación de cuentas utilizando las fotos de perfil.

Este nuevo tipo de estafa se realiza a través de una llamada, donde los delincuentes se hacen pasar por representantes de instituciones sanitarias y realizan una encuesta sobre el Covid-19. Al finalizar las preguntas, le piden a la víctima compartir un código que le será enviado a su celular para registrar su participación en la encuesta y evitar que la institución lo vuelva a llamar. El objetivo es: hacer que la víctima comparta el código de seis números que se envía vía SMS, los cuales son los dígitos que la app envía para poder activar la aplicación en un teléfono nuevo. Y con esto, su cuenta de WhatsApp podría ser robada.

Mientras más tiempo pasamos en el celular, mayor la infodemia

La verificación de dos pasos se había vuelto popular por dar más seguridad a los usuarios, pero con este modus operandi, se pone en duda. Su objetivo siempre fue proteger las cuentas en la aplicación ante la creciente ola de cibercrímenes. Sin embargo, un uso de la manipulación, un descuido del usuario y el área de soporte en WhatsApp, ponen en riesgo a los consumidores. Desde el robo de información personal, hasta el robo completo de la cuenta.

Pero esto no es todo, la novedad de la estafa surge cuando el estafador sabe que la víctima tiene disponible la verificación de dos pasos. Después, el cibercriminal vuelve a llamar después de dejar claro que “se ha detectado actividad sospechosa proveniente de esa cuenta” y haciéndose pasar por alguien del equipo técnico de WhatsApp. Posteriormente, la víctima recibe instrucciones de revisar su correo electrónico y buscar el mensaje con el enlace que le permitirá registrarse de nuevo en la doble autenticación.

No obstante, al hacer clic en el enlace, la protección doble se deshabilita, lo que les permite a los delincuentes, quienes ya cuentan con el código de activación temporario, robar la cuenta de la víctima. La estafa está consumada.

Una de las víctimas fue Luis Ernesto Gómez, secretario de Gobierno de Bogotá, quien luego de relatar los hechos, alertó a la ciudadanía a través de su cuenta de Twitter el hecho. 

"Mi cuenta de WhatsApp fue 'hackeada' en la madrugada. Aunque ya la recuperé, me entero de que varias personas han sido víctimas del mismo ataque en las últimas horas. Por favor tengan cuidado. Si reciben un mensaje pidiendo enviar un código de SMS no contesten, así 'hackean' la cuenta", escribió.

¿Qué dicen los expertos?

“La única forma de que las personas se protejan de esta nueva estafa es sospechar o saber de antemano que existe”, explica Fabio Assolini, investigador senior de seguridad en Kaspersky. “Desde el punto de vista de la seguridad, el proceso de autenticación debe ser mejorado, ya que, de lo contrario, las estafas de robo de cuentas seguirán aumentando. Además, el diseño de la aplicación permite que la estafa deshabilite la autenticación de doble factor. Si, en vez, el enlace enviado llevara al usuario a la página de WhatsApp para ahí restablecer la contraseña de doble factor, los delincuentes no podrían instalar las cuentas en su dispositivo”, concluye.

Algunos señalan que para evitar caer en ese tipo de estafas es importante revisar los mensajes e ignorar aquellos que provengan de un número desconocido. Cuando se tratan de cuentas de compañías, la aplicación notifica que se trata de un contacto empresarial.

En México, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), alertó sobre esta práctica denominada vishing, que consiste en busca obtener información de tipo financiera y personal.

¿Qué podemos hacer?

Aunque, de momento, no se ha habilitado una solución para esta problemática, se ha concluido que lo mejor es sospechar de este tipo de conexiones sospechosas. WhatsApp no llama a sus usuarios ni les pedirá revisiones de sus datos personales. Lo más importante aquí, tanto como para evitar otras estafas, es el sentido común. Este siempre será nuestro aliado al momento de evitar convertirnos en víctimas de los cibercriminales.

¿Qué es el Vishing y cómo protegernos de él?