Desde su fundación en febrero del 2009, WhatsApp ha ido evolucionando, brindándonos muchas ventajas con las nuevas funciones que ha ido adquiriendo a lo largo de este tiempo. Se ha convertido en una aplicación casi imprescindible en cuanto a comunicación se refiere. Siendo así que, según un artículo publicado por El País en el año 2020 la aplicación de mensajería llegó a más de 2 000 millones de usuarios en el mundo. Sin duda alguna ha cambiado la forma en la cual nos comunicamos.
Dada la cantidad de datos que brindamos a este servicio, la empresa ha ido reformando sus políticas de privacidad y según lo mencionan en su página oficial -“El cifrado de extremo a extremo de WhatsApp se usa cuando le envías un mensaje a otra persona a través de WhatsApp Messenger. Este cifrado garantiza que solo tú y la persona con quien te comuniques puedan leer o escuchar lo que se envía, y que nadie más, ni siquiera WhatsApp, pueda hacerlo”. Esto brinda más confianza a los usuarios al usar esta aplicación, pero, como todo servicio digital, no es perfecto y sus políticas también le han jugado en contra, por ejemplo, la polémica que surgió recientemente por el cambio de su política de Condiciones de servicio y Privacidad dada su integración con Facebook, la cual te explicaremos en un próximo artículo.
Con el aumento de usuarios también ha ido aumentando la cantidad de ataques que van desde el robo de datos hasta la propagación de información falsa, esto se ha extendido a través de las llamadas “cadenas”, cuyo objetivo es llegar a la mayor cantidad de personas posibles y en la mayoría de los casos es inevitable que el número de ataques y víctimas siga en aumento.
A continuación, te mencionaremos algunos de los riesgos con los que te puedes encontrar en WhatsApp:
Robo de cuenta por código de verificación.
Esta técnica de phishing funciona de la siguiente manera:
El atacante intenta iniciar sesión con el número de la víctima; al instalar la aplicación, WhatsApp envía un código de verificación que llegará vía SMS el cual permite el inicio de sesión. A continuación el atacante intentará que la víctima proporcione el código que 6 dígitos que acaba de recibir, como se muestra en la imagen superior. Si la víctima otorga el código que el atacante solicita, este tomara el control la cuenta de WhatsApp; ya que ha conseguido hacerse del control de la cuenta, activará la autenticación de doble factor, lo que provocará que la víctima pierda el acceso a su propia cuenta, dejando a merced del atacante la información contenida en la aplicación, como pueden ser mensajes y lista de contactos, con los cuales podría intentar realizar el mismo ataque y hacerse de más cuentas.
Pero no es la única forma que los atacantes utilizan estas técnicas de ingeniería social. Podrías recibir una llamada pidiéndote participar en una encuesta, pueden mencionar que es sobre COVID-19, algún candidato político o hasta para participar en algún concurso con un premio de por medio; en dicha encuesta te piden datos personales como tu nombre, edad, numero de teléfono, correo electrónico, etc. Al final de la encuesta te pedirá que proporciones un código de verificación que te han mandado por SMS para finalizar la encuesta o para que puedas reclamar tu premio, si la víctima no se percata del contenido del SMS podría estar proporcionando el código de verificación para acceder a su cuenta de WhatsApp y como lo mencionamos antes, la cuenta quedaría en poder del atacante, que podría pedir recompensa monetaria para regresar el acceso a la cuenta, utilizar la cuenta para cometer delitos como extorsión, utilizarla para propagar noticias falsas o distribuir spam.
Tener autenticación de dos pasos no garantiza seguridad total
Los servicios digitales cada vez implementan nuevas herramientas para hacer más seguras sus plataformas y aplicaciones, pero, como suele decirse entre los expertos en seguridad “El eslabón más débil en la seguridad informática no son los sistemas, son las personas”. Es por eso que los delincuentes se enfocan más en mejorar sus técnicas de ingeniería social y engañar a las personas que en vulnerar sistemas.
¿Por qué mencionamos lo anterior?
Imaginemos que la víctima tiene habilitado el doble factor de autenticación en la aplicación de mensajería y recibe una llamada para participar en una de las encuestas como las que mencionamos antes, al terminar le proporciona el código de 6 dígitos al atacante con la razón de que sea registrada su participación y así evitar que le vuelvan a llamar o pueda reclamar su premio, entonces el atacante al intentar ingresar a la cuenta que pretende vulnerar se percata que tiene activada la autenticación de 2 pasos o 2FA; el siguiente paso que tomará el atacante será llamar nuevamente a la víctima, pero esta vez haciéndose pasar por un miembro del equipo de soporte de WhatsApp, mencionando que se ha detectado una actividad maliciosa en su cuenta, le pedirá que ingrese al enlace que acaba de recibir en el correo electrónico que la víctima ha registrado al momento de activar el 2FA, pero antes el delincuente ya hizo la petición para restablecer el pin de seguridad en la opción “¿Olvidaste el pin?”, por lo que el correo y enlace en cuestión son genuinos. Al dar click en el enlace mencionado, se deshabilita del 2FA, lo cual es aprovechado por el atacante para ingresar el código de verificación temporal que la víctima ya le ha proporcionado anteriormente y así el atacante ya ha tomado el control de la cuenta en cuestión.
Regalos de empresas o ayudas del gobierno.
Este tipo de fraudes son los que más abundan y se propagan por medio de las famosas “cadenas de WhatsApp”
En algún momento hemos recibido un mensaje de un familiar, amigo o cualquier contacto que tengamos registrado, en el cual nos muestran un enlace mencionando que alguna empresa está otorgando regalos monetarios o en especie, o en su lugar, nos informan que alguna dependencia del gobierno está promoviendo algún tipo de apoyo monetario y lo único que necesitamos hacer para acceder a ello es realizar un registro y compartir el enlace con nuestros contactos.
Esto en realidad se trata de un fraude en el que puedes poner en riesgo tus datos personales.
Al entrar al enlace se presenta un formulario como el que mostramos a continuación, en ciertos enlaces también se muestra un juego interactivo antes de presentar el formulario, esto con el fin de darle veracidad al “sorteo”.
(Los datos requeridos en el formulario varían del sitio en cuestión)
Al terminar el cuestionario se le pide a la víctima que envíe la cadena a cierto número de contactos, esto se presenta como requisito para acceder a dicho “beneficio”. Lo que provoca que el enlace fraudulento llegue a más víctimas.
Los datos proporcionados en el formulario mencionado pueden llegar a usarse para la construcción y posterior venta de bases de datos para distribuir publicidad no solicitada o spam, o en su lugar, delitos más graves como robo de información bancaria y suplantación de identidad.
Información y noticias falsas
Al igual que las anteriores, este tipo de mensajes se distribuyen a través de “cadenas” las cuales en su mayoría el objetivo es crear desinformación o una falsa expectativa sobre algún tema relevante del momento.
Y aunque pareciera que este tipo de cadenas son inofensivas, la desinformación va más allá de nuestro teléfono celular. Ejemplificando, podemos mencionar la situación que se presentó en la presente pandemia y la lluvia de información relacionada con el virus Covid-19, que iba desde desincentivar el seguimiento de las medidas de salud hasta la recomendación de usar productos que ponían en riesgo la salud de la gente que seguía los consejos que había leído en este tipo de cadenas.
Y como esta, han surgido infinidad de cadenas propagando información falsa o en los casos más graves solicitan ingresar datos personales.
A continuación mencionaremos algunas que han sido registradas:
- Cobro o cancelación de cuenta si no se comparte la cadena con varios contactos.
- Ofertas de empleo falsas, en algunos casos, solicitan información personal.
- Cambios en políticas de la aplicación que le permitirá a la misma utilizar a su conveniencia tanto mensajes enviados y eliminados, además de contenido multimedia compartido en los chats personales.
- Datos móviles gratis al completar un cuestionario y reenviar la cadena a cierto número de contactos.
Cabe recalcar que los puntos anteriormente mencionados corresponden a cadenas fraudulentas, y no son las únicas, existen muchas más, por lo que tenemos que estar alerta sobre los mensajes que recibimos.
Recomendaciones:
- Habilitar la verificación de dos pasos, esto brindara una capa extra de seguridad a tu aplicación. Si no sabes como hacerlo da click Aqui.
- No compartas con nadie el código de verificación de cuenta, es el código de 6 dígitos que llega por SMS para iniciar sesión.
- No introduzcas datos personales o bancarios bajo ninguna circunstancia, en especial en enlaces o direcciones web recibidos por mensaje.
- Evita visitar los sitios web a los que te redirigen los enlaces compartidos por estos mensajes, por ejemplo los mencionados anteriormente, que ofrecen regalos, dinero, cupones, tarjetas de regalo o algún otro beneficio.
- Notifica al contacto que te haya compartido alguna cadena o mensaje de este tipo, que se trata de una estafa para evitar que se siga difundiendo y de ser posible que notifique a sus contactos si ya lo compartió.
- No compartas estas cadenas o mensajes fraudulentos con tus contactos, así se reduce el número de posibles víctimas.
- Si requieres apoyo gubernamental, visita los sitios oficiales de este, ninguna dependencia del gobierno realiza trámites por medio de WhatsApp.
- Identifica si el mensaje tiene la etiqueta de “Reenviado”, esto está señalado con el icono de la flecha doble , lo cual te ayudará a saber si el mensaje ha sido enviado varias veces, que es muy común en esas cadenas.
- Comprueba la fuente de las noticias o información que recibas en este tipo de mensajes, esto te ayudará a saber si la información contenida en cierta o falsa.
Para mayor seguridad, consulta y compara dicha información en fuentes alternativas confiables, así evitarás que se propaguen las notas falsas. - Los archivos multimedia como fotos, vídeos o audios también pueden contener información falsa por lo cual hacemos hincapié en el punto anterior.
- Si llegas a recibir una llamada del equipo de soporte de WhatsApp, posiblemente sea un delincuente, difícilmente dicho soporte se comunicará contigo de esa manera y menos si no esperabas esa llamada.
- Si se trata de una persona desconocida, reporta el número al centro de ayuda de Whatsapp, esto ayudará a que ese número no siga propagando estos fraudes y estafas. Si no sabes como hacerlo da click Aqui.
- De ser posible reportar el fraude con la policía cibernética de tu ciudad.
Escrito Por:
Alan Tapia
Security Consultant