Un simple error de usuario de WhatsApp puede provocar grandes problemas

Zak Doffman, CEO de una compañía de seguridad con el nombre de Digital Barriers y colaborador de Forbes, recientemente se topó con un ataque de adquisición de cuenta dirigido a usuarios de WhatsApp. Muestra una vez más que para los ciberdelincuentes, poder piratear la psique humana podría ser aún más importante que piratear un servicio en línea.

Doffman se enteró del ataque cuando un amigo suyo se quejó en un chat grupal de que su cuenta de WhatsApp había sido pirateada. Les dijo a los demás que desconfiaran de los mensajes que supuestamente provenían de ella, y advirtió a todos que no regalen números de seis dígitos que puedan recibir como mensaje de texto. Al principio sonó algo extraño, pero pronto, Zak Doffman sabía exactamente lo que había sucedido, y estaba bastante asombrado por lo simple e inteligente que es el ataque.

Una clase magistral de ingeniería social

Es imposible decir qué tan extendida es la estafa o si está dirigida a un conjunto particular de usuarios. Sin embargo, la forma en que funciona el ataque sugiere que quienquiera que lo haya organizado está decidido a hacerse cargo de la mayor cantidad de cuentas posible.

Las personas que están preocupadas por comprometer sus conversaciones privadas pueden dar un suspiro de alivio. El uso de encriptación de extremo a extremo de WhatsApp significa que si alguien inicia sesión en su cuenta desde un dispositivo diferente, no puede ver sus chats a menos que también hayan robado su copia de seguridad. Sin embargo, lo que pueden ver son los números de teléfono de sus amigos, y también pueden tratar de comprometer sus cuentas.

Obviamente lo hacen desde un dispositivo previamente no reconocido, lo que significa que es imposible iniciar sesión sin un código de seis dígitos que el propietario de la cuenta recibe como un SMS. Sin embargo, el atacante usa su cuenta ya comprometida para hacerse pasar por usted y le pide cortésmente el código mencionado anteriormente. Los atacantes esperan que la confianza establecida entre usted y su amigo sea suficiente para que el código se entregue sin dudarlo. En la mayoría de los casos, con esto, los delincuentes pueden hacerse cargo de la cuenta de su amigo.

Es un ataque clásico de ingeniería social, y la forma en que funciona muestra que el recuento de víctimas podría descontrolarse fácilmente. El hecho de que lograrlo no requiera una gran inversión financiera lo hace aún más atractivo para los ciberdelincuentes poco sofisticados, por lo que probablemente deberíamos hablar sobre lo que puede hacer para mantenerse a salvo.

¿Cómo detectar la última estafa de WhatsApp?

Se trata de saber cómo funciona WhatsApp. Si lo hace, sabrá que el código de seis dígitos que acaba de recibir se envió porque alguien está intentando acceder a su cuenta desde un dispositivo diferente. Con eso en mente, no será difícil sospechar que algo anda mal cuando alguien en su lista de contactos solicita el código mencionado, incluso si esa persona se esconde detrás del número de teléfono de su mejor amigo.

Si está familiarizado con el proceso de inicio de sesión de WhatsApp, también sabrá que la aplicación ofrece una opción de autenticación de dos factores que se puede activar desde la sección Cuenta en la configuración de la aplicación. Con la autenticación de dos factores, iniciar sesión en un nuevo dispositivo requerirá no solo el código de seis dígitos del que hablamos en los párrafos anteriores, sino también un PIN, que usted crea y recuerda.

Aunque el diseño del ataque es inteligente, su éxito depende en última instancia de que cometas una serie de errores simples. Depende de ti demostrar que eres mejor que eso.