No es hackeo, sino suplantación de identidad lo que tratan de hacer con su móvil
Miles de majoreros están sufriendo ataques en sus terminales móviles con el objetivo de hacerse con su cuenta de WhatsApp y su lista de contactos
Miles de majoreros están sufriendo un ataque generalizado en sus terminales móviles con el objetivo de hacerse con su cuenta de WhatsApp y su lista de contactos, pero, tal y como advierte la Guardia Civil, no se trata de un hackeo porque no tratan de acceder a los datos bancarios de los usuarios, se trata de una suplantación de identidad.
El “modus operandi” de quienes lo ponen en marcha es el siguiente: el usuario recibir un mensaje por WhatsApp pidiendo un código de verificación de seis dígitos que previamente se ha recibido en el teléfono y que proviene de una persona de la propia lista de contactos, por lo que lo habitual es que todo el mundo tienda a fiarse.
Según las denuncias recibidas por la Guardia Civil, los usuarios reciben un mensaje a través de WhatsApp que les dice “Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, ¿lo puedes pasar a mí teléfono, por favor? es urgente”.
El método de esta posible suplantación de identidad, según la Guardia Civil, es que "el atacante, una vez instalada la aplicación en un dispositivo de su propiedad" introduce el número de teléfono de la posible víctima. A continuación, "el sistema envía a ese número un mensaje SMS, con un código de verificación que se debe introducir en la aplicación para verificar que se trata del usuario correcto y finalizar la instalación".
El atacante se haría pasar "por un conocido de la víctima, al que previamente ya habría suplantado o tomado el control de su cuenta, le envía un mensaje pidiéndole que le reenvíe un SMS con un código numérico que necesita y que le habría enviado por error".
Ese SMS que le solicita el atacante a la víctima es el mensaje que envía la app con el código de verificación para la instalación de la aplicación. Si la víctima se lo facilita, "el atacante obtiene el control de la cuenta en su dispositivo y con ello el acceso a todos los grupos a los que pertenezca la víctima, así como el acceso a todos sus contactos", explica la Guardia Civil.
Además, enlazan a las recomendaciones de la Oficina de Seguridad del Internauta (OSI) en el caso de que ya lo hayas reenviado. Según expone la OSI, debes intentar contactar con los administradores de WhatsApp para recuperar tu cuenta y avisar a tus contactos de lo ocurrido para que no caigan en el timo.
En caso de ser una persona sospeche que le han robado la cuenta de WhatsApp, lo adecuado es notificar a tus familiares y amigos que dicha persona podría hacerse pasar por ti en tus chats individuales y de grupo. WhatsApp también aclara que sus conversaciones están cifradas de extremo a extremo y que los chats se almacenan en los propios teléfonos, por lo que si alguien accede desde otro dispositivo no puede leer las conversaciones pasadas.
Verificación en dos pasos para evitar ataques
La Guardia Civil recuerda que "las aplicaciones de mensajería más conocidas integran varios sistemas de seguridad para evitar en lo posible ser víctimas de este tipo de situaciones", como la verificación en dos pasos, que es "una función opcional que añade más seguridad a la cuenta, haciendo que cualquier intento de verificación deba ir acompañado de un número PIN, previamente creado por el usuario y que solo él conoce". La Guardia Civil insta a usar la verificación en dos pasos.
De esta manera, conseguimos añadir una capa extra de protección a la aplicación: si alguien intenta acceder a ella, tendremos una segunda vía por la que autenticar nuestra identidad que no sea por SMS. En el enlace te hablamos de este proceso.
¿Cómo recuperar la cuenta en caso de que la hayan robado?
WhatsApp explica en su web que hay que registrarse en la aplicación y verificar el número al ingresar el código de verificación de seis dígitos que recibas por SMS. En el siguiente vídeo se explica verificar un número de teléfono en WhatsApp:
Una vez que ingreses el código de seis dígitos recibido por SMS, la sesión de la persona que tenga acceso a tu cuenta se cerrará automáticamente.
También es posible que te pidan ingresar un código de verificación en dos pasos. Si no sabes ese código, es posible que la persona con acceso a tu cuenta haya activado la verificación en dos pasos. En ese caso, debes esperar siete días para poder verificar tu número. Sin embargo, independientemente de que el atacante haya activado esta opción, su sesión se cerrará en cuanto se ingrese el código de seis dígitos recibido por SMS.
