Cómo funciona el robo de cuentas de WhatsApp y qué hacer para evitarlo

Daniel Trejo no tenía idea de que habían secuestrado su cuenta de WhatsApp hasta que recibió una llamada de su madre. “Me preguntó que si me iban a embargar, que le había llegado un mensaje desde mi número pidiendo dinero”, comenta. Trejo fue víctima del secuestro de su cuenta conocido como SIM swapping, es decir, cuando el número telefónico es clonado y utilizado para usurpar la identidad del propietario, robar contraseñas y vaciar cuentas bancarias. Para realizar esta clonación, los delincuentes hacen uso de un mecanismo que se consigue en la red oscura (o dark web) por unos 200 dólares, o bien, mediante la ayuda de empleados corruptos de las compañías telefónicas que dejan al usuario sin servicio.

Dmitry Bestuzhev, director del equipo de Investigación y análisis para América Latina en la firma de ciberseguridad Kaspersky, indica en entrevista que en los últimos doce meses se ha identificado un crecimiento de 120% en el robo de cuentas, así como distribución de phishing y ransomware a través de aplicaciones de mensajería automática, siendo la más popular, WhatsApp. “Todo se trata de ingeniería social. Es suficiente con que un criminal conozca nuestro número de teléfono para que se ponga en marcha la suplantación y la extorsión”, dice el experto.

Para el SIM swapping solo se necesita el número de teléfono y el usuario deja de tener cobertura por algunos minutos, suficientes para que el atacante pueda tomar control de los mensajes que originalmente recibiría el usuario y de los archivos que haya compartido en esa red. “Muchas personas comparten información muy sensible, y en un breve lapso de tiempo la víctima ha perdido el control de sus cuentas”, precisa Bestuzhev.

En tan solo unos minutos, Daniel Trejo fue víctima de varios delitos: suplantación de identidad, intento de extorsión a sus contactos y también de la extracción de 2.000 pesos (unos 100 dólares) de su cuenta bancaria. “Afortunadamente, ninguno de mis contactos hizo el depósito que pedían, inventando que yo los pedía porque me iban a embargar”, detalla.

De los 84,1 millones de usuarios de internet en el país, 75% hace uso de WhatsApp para comunicarse con familiares y amigos, de acuerdo con el Instituto Federal de Telecomunicaciones (IFT) en México, pero menos del 20% de ellos ha hecho el proceso de verificación de dos pasos para evitar que se haga mal uso de la cuenta. El método de verificación que ofrece la aplicación propiedad de Meta es muy sencillo: hay que ir a los ajustes y crear una contraseña de seis dígitos. “Los criminales pueden obtener este código, pero una vez que han sido atacados, no hay posibilidad ya de hacer nada”, dice el experto de Kaspersky.

Otro de los métodos que tienen los ciberdelincuentes es el uso de bots de voz que hacen llamadas con las que pueden tener el control de la cuenta. Mediante la ingeniería social, los atacantes pueden hacer una llamada falsa de las empresas que siguen al usuario y así engañar al usuario para obtener la clave con la que después toman el control de sus cuentas. “Hasta familiares de profesionales en seguridad han sido víctimas de este delito”, detalla.

Las claves para mantener la seguridad en WhatsApp

La primera clave que recomienda Bestuzhev es realizar el proceso de verificación de dos pasos y crear una contraseña sólida y que no sea fácil de predecir, como el clásico 123456. Adicionalmente, el portal especializado WABetaInfo ha precisado algunas medidas de privacidad para evitar que desconocidos tengan acceso a los datos.

En primer lugar, establecer una configuración de seguridad robusta, evitando mostrar los tiempos de última conexión, imagen de perfil oculta para números que no se tengan registrados en el teléfono. Asimismo, si el usuario se encuentra inscrito en varios grupos con muchos usuarios, lo mejor es establecer una configuración de privacidad que mantenga oculta la información más sensible.

El comportamiento del usuario es importante, ya que la filtración de base de datos es frecuente. Tan solo en abril de 2021, Facebook sufrió el robo de los datos de 533 millones de personas, entre ellos, el número telefónico, el primer paso para poder ser víctima de un secuestro de la cuenta o suplantación de identidad.

Una regla de oro también para los grupos en WhatsApp es evitar ingresar en enlaces, sobre todo cuando se trate de noticias que puedan resultar extraordinarias, ya que podría tratarse de un enlace malicioso. Asimismo, evitar mandar números de cuenta, estados bancarios y otra información sensible por este medio es lo más importante. “Hay que saber que WhatsApp no es una plataforma segura aunque muchos lo piensen así, lo mejor es no compartir información delicada”, concluye Bestuzhev.

Suscríbase aquí a la newsletter de EL PAÍS México y reciba todas las claves informativas de la actualidad de este país