Radiografía de una estafa por WhatsApp: “Es increíble porque usaban sus palabras, como amore y nena”

Una mujer de 52 años está a punto de tomar un avión desde EE UU a España. En la sala de espera, resuelve atareada asuntos de trabajo en varios chats simultáneos de WhatsApp. De repente, su marido, al lado, le oye decir: “Vaya esta la que me ha liado aquí con el WhatsApp. Le voy a echar una bronca, me ha dejado colgada. Una amiga me ha pedido que le mande un código para verificar y ahora no me funciona el WhatsApp y tengo que seguir currando”, dijo, según recuerda.

El mensaje no era, claro, de la amiga, sino de un usurpador que le había robado el uso de WhatsApp. Incluso antes de subir al avión, varios amigos escribieron al marido: “Oye, que me ha escrito tu mujer y me está pidiendo dinero, pero no puede hablar”, dice. Durante el vuelo, el estafador escribió a docenas de amigas y compañeros de las víctimas con distintas peticiones de dinero: “Algunos certificaban que ya habían mandado el dinero”, recuerda el marido. Han calculado que el dinero robado pudo rondar los mil euros de tres personas que picaron. Los estafadores llegaron a pedir 2.500 euros a algunos amigos, pero a la mayoría eran unos pocos cientos. EL PAÍS ha visto pantallazos y detalles del caso, pero no da los detalles personales de las víctimas porque así lo han pedido para no añadir más problemas a su situación.

La sorpresa en este asunto, y lo que hizo a algunas amigas acudir a las redes sociales a denunciarlo, fue que el usurpador parecía hablar como la víctima: “Hola nena, estás muy ocupada?”, le escribió a una. “Amore necesito realizar un pago”, a otra. “Es increíble porque usaban sus palabras. Ni idea de cómo lo hacen, pero lo bordan”, explica a este periódico una amiga que recibió los mensajes. “Es que parece una IA, parece una persona”, añade. Es probablemente una persona.

Los ciberataques de todo tipo se han disparado en los últimos años. Su crecimiento y complejidad es tal que tiene desbordados a los agentes policiales. Las variantes no paran de crecer y a veces es difícil entender qué ocurre y cómo puede ser. Este caso sirve para desentrañar con ayuda de expertos qué pudo haber ocurrido en un escenario como este y qué puede hacerse para evitarlo o al menos minimizar el golpe.

La parte más fascinante del ataque es el uso de palabras clave en los nuevos mensajes. ¿Es posible que los atacantes automaticen los mensajes con un ChatGPT para agilizar los mensajes y tratar de estafar más dinero? Es posible, pero es improbable, cree Martín Vigo, fundador de Triskel Security y presentador del podcast Tierra de hackers. “Veo un poco complicado automatizarlo. Lo tendrías que automatizar externamente porque no puedes automatizar una app. Y en el WhatsApp de escritorio, pues tendrías que utilizar algo externo, algo que te mueva el ratón, pero no es que con un programa de Python vas y te lo haces”, explica Vigo.

‘¿Qué pasa crack?’

¿Entonces cómo lo hacen? A mano, con copia y pega, cree Vigo. “Aunque gastes 10 segundos más, lo haces más eficiente al mirar el mensaje anterior”, dice, y detalla el proceso: “Ya controlo el WhatsApp. Voy a empezar a enviarle los links de pago a la gente. Miro los tres o cuatro mensajes anteriores y en seguida veo el típico saludo de cuando empiezas un mensaje. ‘Hola, tío, qué pasa, crack? Qué tal?’ Y solo pongo eso y ya copiapego el resto desde el bloc de notas”. “No creo que esté automatizado sobre todo también porque hay esa parte de dificultad de automatizarlo por ser una app cerrada. No es un programa de Python”, añade.

¿Cómo evitar esto? “Hay que tener una palabra que sirva de código o preguntar algo que solo esa persona pueda saber: ¿dónde fuimos el año pasado de vacaciones?, por ejemplo”, dice Carlos Solano, responsable de la consultora Ardiciber, especializada en víctimas de ciberestafas. Otras opciones rápidas, como hicieron en este caso, es pedir un audio o escribir a alguien que sepas que está con la víctima, en este caso el marido.

Esto solo explica una parte de la estafa: el intento del robo del dinero. Pero antes el usurpador tiene que haber accedido al WhatsApp de la amiga de la víctima, un proceso que sí puede mecanizarse. “Es lo que hace la gente de ransomware, tiene automatizado toda la parte de penetrar dentro del perímetro. Los emails de phishing automatizados, el escaneo de puertos automatizado, la identificación de vulnerabilidades automatizada. Cuando entran se pone un tipo al teclado y empieza a hacer las cosas porque automatizar absolutamente todo es difícil”, dice Vigo.

¿Cómo puede robarse una cuenta de WhatsApp? Hay un montón de maneras. Al contrario que en una red social normal, donde tenemos un nombre o email de identificador y una contraseña, en WhatsApp el identificador es el número y puede registrarse con un código de seis cifras que recibe ese número. Así que una vez se sabe el número de la víctima, solo hay que obtener el código.

En este caso lo interesante es que el atacante accedió a un número y, en lugar de quemarlo pidiendo en seguida dinero a los contactos, lo usó para moverse horizontalmente y acceder a otros números. Con su nombre y número pedía el código de seis cifras a sus amigas, que se lo daban sin pensar mucho. Así los criminales podían multiplicar sus opciones de llegar a más víctimas propicias. Es probable incluso que observara la actividad y al ver que la víctima planeaba un vuelo largo de avión, decidiera que era el momento propicio para atacar.

Vigo ideó en 2018 un modo de hackear el buzón de voz para obtener el código que WhatsApp mandaba por llamada en lugar de por SMS. En Brasil se usó cientos de veces para acceder a teléfonos, incluso de políticos. Otro modo de automatizarlo es con ingeniería social, con un mensaje del tipo: “Perdona me he equivocado y te ha llegado a ti el código, ¿me lo puedes pasar?”. “Esto se automatiza si tienes una lista de números, vas registrando automáticamente WhatsApp y a los 20 segundos mandas ese mensaje. Si contestan con el código ya está. Lo puedes hacer con mil teléfonos y no cuesta mucho dinero”, relata Vigo.

Una variante de este método con ingeniería social es usar la empresa propietaria de WhatsApp, Meta: “Hay un tipo de ataque donde te dicen ‘Somos del departamento de ciberseguridad de Meta, le mandamos un código de seis dígitos para que se reactive su WhatsApp”, explica Solano.

Otros modos más complejos, pero más factibles si la víctima es conocida, son a través de una página web donde haya un formulario. Al registrarte te pide una autenticación doble y que requiere un SMS. Ese SMS, en lugar de provenir de esa página web falsa, es el de Meta para registrar tu número en WhatsApp. Cuando lo metes en la página se lo estás dando a los usurpadores. También puede hacerse por la versión web de WhatsApp si se deja abierto en un lugar público: “Me voy a tomar algo contigo, veo el pin de tu número, vas al baño y en un minuto entro en tu Whatsapp. En mi propio móvil voy a la web, me sale un código QR, lo escaneo con tu teléfono y tengo acceso a tu WhatsApp con todas tus conversaciones. Que es lo más interesante, porque puedo ver lo que escribes, escribir por ti, lo que quiera”, explica Vigo.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.