_
_
_
_

Así pueden robarnos WhatsApp: para qué lo quieren y cómo protegerse

Los ciberatacantes buscan la entrega de dinero por Bizum o Paypal, el acceso a fotos o vídeos de la aplicación de mensajería y suplantar la identidad para hacerse con nuevas cuentas

Así pueden robarle WhatsApp: para qué lo que quieren y cómo protegerse
Una mujer con su 'smartphone' en la mano lee un mensaje de WhatsApp.picture alliance (dpa/picture alliance via Getty I)
José Mendiola Zuriarrain

“Hola, papá, he perdido el móvil y te escribo desde este nuevo número ¿Me puedes enviar dinero? Estoy en un apuro”. Así arranca la conocida estafa del hijo en apuros, que sigue circulando por los móviles en España y, más allá del dinero, uno de los botines que persiguen los atacantes es la cuenta de WhatsApp del titular. La aplicación de mensajería más popular del mundo sigue siendo el blanco principal de los ciberataques, alcanzando casi el 90% del total, según un estudio publicado por la compañía de seguridad informática Kaspersky.

¿Por qué WhatsApp? “Si se consigue una cuenta de WhatsApp, se tiene un acceso con credibilidad a todo el espectro de amigos, familiares y compañeros de trabajo”, explica Fernando Suárez, presidente del Consejo General de Colegios de Ingeniería en Informática, y esta credibilidad puede desencadenar una petición de dinero, datos personales “o hasta fotos, que son luego empleadas para extorsionar a la víctima”.

La estafa del hijo en apuros, en muchas ocasiones, es empleada para solicitar una entrega de dinero mediante Bizum, PayPal o incluso una transferencia bancaria. Esta técnica aprovecha la vulnerabilidad de un padre que da por cierta una presunta situación de emergencia de su hijo y procede al pago sin dudarlo. Si bien esta técnica se emplea inicialmente desde una línea de un tercero, cobra más veracidad y credibilidad si el mensaje proviene de la propia cuenta de WhatsApp del remitente.

Y es que, una vez que tienen el control de la cuenta, los atacantes pueden escribir desde la misma a los contactos de la víctima solicitándoles dinero abiertamente, como en la mencionada estafa, o bien más información de carácter personal que luego puede ser empleada para extorsionar al titular de la cuenta. La sofisticación de los atacantes llega incluso al empleo de sintetizadores de voz para emular el tono del titular de cara a enviar audios: “Los ciberdelincuentes utilizan la cuenta comprometida para solicitar transferencias de dinero a los contactos de la víctima, incluso utilizando tecnologías de inteligencia artificial para imitar la voz de la víctima”, informa Kaspersky.

De la misma manera, quien tenga el control de la cuenta tiene acceso a material gráfico y vídeos, tanto recibidos como enviados, que pueden ser luego empleados como coacción para solicitar dinero.

Cómo es el ataque a la cuenta

Lo primero que hay que tener claro es que WhatsApp, como el resto de plataformas de mensajería, cuenta con un sistema de verificación en dos factores. Esto es, hace falta contar con un código temporal (conocido como token), que es enviado al móvil registrado en la cuenta para acceder a ella. Esto lo experimentan quienes compran nuevos terminales, cuando intentan configurar WhatsApp en el móvil recién adquirido. Un ciberatacante puede conocer el número de teléfono de la víctima —los números están disponibles en la dark web o foros dedicados, debido a filtraciones y vulnerabilidades—, pero le falta el citado token para poder hacerse con el control de la cuenta.

Por eso, cuando se lleva a cabo el ataque, la víctima recibirá primero un SMS oficial de WhatsApp con el mencionado código temporal, y es aquí donde todo sucede muy rápido. Inmediatamente, los hackers contactarán con la víctima haciéndose pasar por un amigo o familiar, indicando que, por error, introdujeron su número de teléfono y necesitan ese código recibido. Si la víctima se lo indica, junto con el código de seguridad adicional, habrá perdido el control de la cuenta y se habrá consumado el ataque.

Qué hay que hacer para proteger la cuenta

Como suele suceder en otros ataques que emplean técnicas de phishing, los hackers emplean el factor humano, que es el eslabón más débil de toda la cadena de protección. Para reforzarlo, los expertos recomiendan adoptar las siguientes medidas:

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Sobre la firma

José Mendiola Zuriarrain
Es colaborador en la sección de Tecnología de EL PAíS. Licenciado en Ciencias Económicas por la Universidad de Deusto, escribe desde 2007 sobre nuevas tendencias y tecnología.
Rellena tu nombre y apellido para comentarcompletar datos

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_