Nueva ola de robo de cuentas de WhatsApp: esto puedes hacer para proteger la tuya

124

La periodista Nayeli Meza se despertó la mañana del miércoles 17 de noviembre con varios mensajes SMS solicitándole el código de registro para entrar a su cuenta de WhatsApp. Estaba sorprendida, ya que éstos se enviaron en la madrugada y definitivamente ella no había cambiado de dispositivo.

«De inmediato cerré todas mis sesiones, vine a la computadora e hice lo mismo. Pensé que ya se había resuelto mágicamente el problema, pero no. Al día siguiente, sucedió exactamente lo mismo», platica en entrevista con Business Insider México. «Cuando me desperté entre 6:30 y 7:00 de la mañana, vi que ya tenía una lista de mensajes SMS larguísima y notificaciones de buzón de voz. Pero lo que más me preocupó y me alertó fue una notificación que decía que mi número de teléfono ya no estaba registrado en mi dispositivo», comenta.

Inmediatamente después, Nayeli intentó entrar a su cuenta de WhatsApp a través de la aplicación de teléfono y hasta en su computadora; sin embargo, ya no podía hacerlo. Incluso cuando intentó registrar de nuevo su número telefónico, se topó con un mensaje que decía que su línea ya había sido registrada en otro dispositivo y que los intentos para ingresar superaron el límite, por lo que debía esperar ocho horas para volver a intentarlo. Cuando una amiga suya le notificó a su pareja que alguien se estaba haciendo pasar por ella y le estaba pidiendo dinero, Nayeli supo con certeza que su cuenta de WhatsApp había sido robada.

Algo cada vez más común

Nayeli no es la única que ha sufrido un robo de su cuenta de WhatsApp; si bien no existe un número exacto de incidencias en nuestro país, en los últimos meses cada vez más personas han acudido a sus redes sociales para denunciar el secuestro de su cuenta. El 26 de noviembre, la periodista María Scherer escribió en su cuenta de Twitter que su cuenta había sido hackeada; el mismo día, el también periodista Salvador Camarena reportó lo mismo.

El robo de cuentas de WhatsApp no es exclusivo de periodistas. De hecho, también ha llegado a funcionarios públicos con altos cargos; entre ellos, los gobernadores de Chiapas, Guerrero, Sinaloa y Tamaulipas; así como algunos senadores de la República como José Narro C´espedesHiginio Martínez, Kenia López Rabadán y Manuel Añorve.

Los robos de identidad en Whatsapp son cada vez más comunes. Foto: Getty Images.
Los robos de identidad en Whatsapp son cada vez más comunes. Foto: Getty Images.

El modus operandi del robo de cuentas de WhatsApp para ser el mismo siempre: alguien «captura» la línea de la víctima y se hace con la cuenta a horas en el que la persona normalmente no revisa su teléfono, para después empezar a pedir a conocidos de la víctima depositar cierta cantidad de dinero en una cuenta.

«La excusa hasta eso era muy sutil. Decían que yo estaba teniendo problemas con mi banca digital y que no podía acceder a mi cuenta, luego pedían ayuda para hacer un depósito y que yo se los pagaría más tarde», cuenta Nayeli.

¿Cómo puede alguien realizar el robo de cuentas de WhatsApp?

WhatsApp cuenta con aproximadamente 2,000 millones de usuarios activos a nivel mundial, y está clasificada como la aplicación de mensajería móvil más utilizada en el mundo. Según el más reciente Estudio sobre los Hábitos de los Usuarios de Internet en México, elaborado por la Asociación de Internet MX, en el país hay 84.1 millones de internautas; de estos, 91% tiene WhatsApp; es decir, casi 77 millones.

Esta gran cantidad de usuarios permite a los ciberatacantes intentar distintas estrategias para hacerse con una cuenta. Estos pueden ir desde ataques básicos de phishing, hasta acciones más elaboradas.

«90% de los fraudes digitales y distribución de malware tiene como puerta de entrada el phishing. Típicamente, este era a través de correos electrónicos con una liga o documento malicioso; sin embargo, cuando hablamos de la gran cantidad de descargas de esta aplicación y como todo mundo lo tiene en su bolsillo, para el atacante puede ser tan sencillo como mandar una cantidad masiva de ligas o mensajes maliciosos dentro de la app esperando que un usuario le de clic. Tienen un 50% de probabilidad de que esto funcione», explica Arturo Torres, estratega de ciberseguridad de FortiGuard Labs para America Latina y el Caribe, en entrevista con Business Insider México.

De acuerdo con Torres, durante el último semestre FortiGuard Labs de Fortinet registró un aumento considerable de ataques utilizando cuentas de WhatsApp. «Nosotros, al menos en la primera mitad del año, detectamos más de 91,000 millones de intentos de ataques en Latinoamérica y el Caribe. De esos, 65%, más o menos más de 60,000 millones, fueron específicamente en México», agrega Torres.

Además, las incidencias de este tipo de ataques se incrementan en días específicos. «Cuando fue el Día internacional de la mujer, se estuvieron enviando una gran cantidad de mensajes por WhatsApp que decían que por solo ese día se estaban regalando zapatillas gratis de Adidas. Se pedía ingresar a una página web, y mientras la persona interactuaba con ella, tras bambalinas ocurrían los robos de cuentas», explica. «Este malware buscaba tus últimos cinco contactos y les enviaba la liga, distribuyéndola de manera automática sin que tú te dieras cuenta».

En el caso específico de Nayeli, el robo de su cuenta de WhatsApp pudo venir más de un ataque de fuerza bruta. Esto es cuando los ciberdelincuentes «forzan» la entrada a la cuenta con varios intentos.

«Uno de los expertos a los que me acerqué me dijo que lo que realizan el ataque por diferentes vías. No solo es a través de darle clic a una liga, sino que también se forza primero con los mensajes SMS hasta que se llega al límite de intentos y que también lo pueden hacer a través de buzón de voz», platica Nayeli. «Después de que intentas meter muchas veces a través del código por mensaje, si no se puede [la aplicación] te contacta a través de tu buzón de voz para decirte el código para que ingreses, y alguien con tu línea ya puede acceder a él», agrega.

«En los ataques de fuerza bruta o de ingeniería social, lo único que necesitas es poder de cómputo y tiempo», dice por su parte Torres.

Otro posible factor de entrada es la descarga de programas o aplicaciones que no son avalados por tiendas de aplicaciones oficiales. «El hecho de que tu descargues un programa de esos para hacer lo que tu quieras y le des permiso de administrador o le des acceso a tus contactos, básicamente la abre la puerta [al malware]. Mucha gente ha instalado aplicaciones en su celular como para ver cómo te verías como viejito o como hombre o mujer; sí, la aplicación funciona y te da lo que ofrece, pero cuando aceptas términos y condiciones sin fijarte exactamente a qué accedes, somos engañados y damos acceso al atacante», dice Torres.

La verificación en dos pasos puede ser una de las mejores maneras de prevenir el robo de cuentas de WhatsApp

Business Insider México contactó a WhatsApp, propiedad de Meta, para preguntar sobre las posibles brechas de seguridad en la aplicación frente al robo de cuentas. La compañía contestó a través de un correo electrónico que «WhatsApp no permite el uso de su servicio con fines ilícitos o no autorizados, incluyendo la violación de los derechos de terceros o la suplantación de la identidad de otra persona». A su vez, la compañía hizo hincapié en que recomienda activar la verificación en dos pasos, que funciona como una capa extra de seguridad para las cuentas.

De hecho, de acuerdo con Juan Aguirre, senior Manager Sales Engineering de LATAM para Sophos, la verificación en dos pasos (o doble factor de autenticación) puede ser el mejor escudo frente a este tipo de ataques.

«El doble factor de autenticación tiene una filosofía muy robusta. Se utilizan diferentes tipos de autenticación: uno es algo que tu conoces (la contraseña) y algo que tu tienes (el PIN o token). La contraseña puede ser vulnerada fácilmente si es débil, pero el PIN o el token no puede ser vulnerado», explica Aguirre.

«Es muy robusto el doble factor de autenticación y es muy importante que siempre se habilite en cualquier tipo de aplicación», agrega.

«Tener tu doble factor de verificación es primordial; no nada más en WhatsApp, sino en Facebook, hotmail y demás», coincide Torres. «¿Por qué? Porque si alguien rompe tu contraseña, pero no tiene tu token, no hay manera de que entren. Esa es una excelente manera de protegernos».

La activación de la verificación en dos pasos en WhatsApp es muy sencilla, y se realiza directamente en la aplicación. Para activar esta protección, el usuario debe acceder al menú con tres puntos dentro de la aplicación y seleccionar «Ajustes» (en Android) o «Configuración» (en iOS). Posteriormente, hay que seleccionar cuenta y de ahí activar la verificación en dos pasos.

Esta función te permitirá registrar un correo electrónico y un PIN de verificación de seis dígitos, que se solicitará si hay un intento de iniciar sesión en tu cuenta de WhatsApp.

¿Qué puedo hacer si me robaron mi cuenta de WhatsApp?

En el peor de los casos, también existen maneras de reportar que tu cuenta de WhastApp fue robada. La Unidad de Policía Cibernética de la Secretaría de Seguridad Ciudadana (SSC) y Meta dan las siguientes recomendaciones:

Solicita la verificación de la cuenta a través de un SMS. Vuelve a instalar WhatsApp, inicia sesión con tu número de teléfono y confirma el código de seis dígitos que recibirás por SMS. De esta manera, cualquier persona que esté utilizando tu cuenta será desconectada automáticamente.

Contacta con el equipo de asistencia de WhatsApp. Envía un correo electrónico a support@whatsapp.com. El correo electrónico puede enviarse en español con el asunto «Cuenta clonada/robada» y debe contener el número en formato internacional (+52 DDD …). Describe lo ocurrido con el mayor detalle posible en el cuerpo del correo electrónico.

La SSC agrega que se puede contactar a la Unidad de Policía Cibernética al correo policia.cibernetica@ssc.cdmx.gob.mx o al teléfono 5242 5100 ext. 5086.

En caso de un intento de robo de cuenta, WhatsApp destacó que el cifrado de extremo a extremo de la aplicación no se ve comprometido. Es decir, el estafador no tiene acceso a los mensajes anteriores que están almacenados en tu teléfono.