El denominado secuestro de las cuentas personales se da cuando otra persona ha registrado el número telefónico de la víctima en la aplicación pero desde otro teléfono. Cuando se da esto, el atacante logra acceder a la sesión de la víctima, dejando todos sus mensajes, fotos, audios y demás datos personales a disposición de los estafadores, quienes pueden leer y enviar mensajes en nombre de la persona afectada. Como WhatsApp solo permite una sesión vía aplicación en simultáneo, la víctima pierde el acceso de la aplicación en su teléfono.
Este caso de ingeniería social se realiza por medio del mecanismo de verificación de la propia app: El estafador instala WhatsApp en algún celular y al momento de introducir el número de teléfono, introduce el número de la víctima a la cual quiere “secuestrar” su sesión. En ese momento, WhatsApp envía un SMS de verificación al número de teléfono de la víctima.
El mensaje se ve así:
Frecuentemente, los malintencionados llaman y se hacen pasar por funcionarios de telefonías, ofrecen premios o “mejorar el servicio”. Así captan la atención de la futura víctima y comienzan a manipularlos, indicando que a la persona le llegará un código de verificación y que debe decir cuál es para acceder a lo prometido. Una vez proporcionado el código, los estafadores ya tienen el control de la cuenta.
Es importante recalcar que la estafa no se completará hasta tanto el criminal haya introducido el código correcto. Sin embargo, la aplicación también nos da la posibilidad de (en vez de introducir dicho código) hacer click en el enlace de verificación, mediante el cual el código se confirmará automáticamente en el teléfono que haya registrado el número.
Si la víctima desprevenida hace click en aquel enlace, en realidad, está permitiendo al atacante registrar su propio número, por lo que de esta manera podrá “secuestrar” el Whatsapp de la víctima.
Desde el ministerio aclaran que, estrictamente hablando, no se trata de una vulnerabilidad de WhatsApp, sin embargo cuestionan el hecho de que el SMS de verificación no sea más explicativo y no incluya algún mensaje como “si no ha sido Ud. quien ha solicitado el registro, ignore o reporte este SMS”.
WhatsApp, en el espacio de “Preguntas Frecuentas” nos aclara que, en caso de no haber solicitado el código, se debe a que alguien “accidentalmente” ha introducido nuestro número y que debemos ignorarlo.
Este consejo es válido también para cualquier otro servicio en el que al momento del alta, se verifica mediante SMS, correo electrónico u otro medio: si uno no se ha dado de alta recientemente, no ha solicitado código de verificación y recibe un mensaje con un código o enlace de verificación, NUNCA se debe compartir ese código con nadie ni hacer click en ningún enlace, ya que de esta manera estaríamos completando el proceso del atacante.
Para reforzar la seguridad en WhatsApp, se recomienda utilizar la autenticación de doble factor. Para activarlo, se ingresa a Ajustes > Cuenta > Verificación en dos pasos y posteriormente se siguen las indicaciones.
