Ya está disponible para escuchar el episodio número 20 del podcast Conexión Segura. En esta oportunidad analizamos en profundidad el robo de cuentas de WhatsApp y explicamos cómo funciona, las excusas que utilizan, cómo roban dinero y las distintas estrategias que utilizan para obtener el código de verificación que envía WhatsApp para corroborar que somos los titulares de la cuenta. Además de este fenómeno, en el último episodio del podcast Conexión Segura analizamos el aumento de vulnerabilidades reportadas en 2022 y cómo interpretar esta tendencia, y por último hablamos sobre la importancia de proteger nuestros datos personales aprovechando que el 28 de enero se celebró el Día Internacional de la Protección de Datos Personales.
Puedes escuchar el último episodio de Conexión Segura aquí:
Robo de cuentas de WhatsApp
El robo de cuentas de WhatsApp es un fraude que se ha vuelto mucho más recurrente en todo el mundo. Como explicamos en el episodio número 20 del podcast, los cibercriminales han estado utilizando todo tipo de excusas para robar el código de verificación de seis dígitos que WhatsApp envía vía SMS -y también mediante llamada- cada vez que abrimos WhatsApp en un nuevo teléfono.
Una vez que obtienen el código, acceden a las cuentas y se comunican con los contactos de las víctimas haciéndose pasar por el titular para solicitar dinero ante una supuesta emergencia. Lamentablemente, muchas personas han caído en la trampa. Convencidas de que están hablando con un familiar, amigo o conocido, hacen transferencias de dinero con la intención de ayudar a estas personas, pero nunca se imaginan que del otro lado hay un criminal que tomó el control de la cuenta.
Ejemplo de mensaje que el estafador envía desde la cuenta robada suplantando la identidad del titular para solicitar dinero. Fuente: Twitter.
Ejemplo de mensaje que el estafador envía desde la cuenta robada suplantando la identidad del titular para solicitar dinero. Fuente: Twitter
Lectura relacionada: Estafadores suplantan identidad de usuarios legítimos por WhatsApp para ofrecer dólares para vender
Esta solicitud del código de verificación que envían los cibercriminales puede llegar por diferentes caminos. Puede ser un mensaje que llega de un contacto desconocido que, utilizando alguna excusa, solicita que reenvíen un código que por error llegó a su número (ver ejemplo) o incluso puede ser un contacto conocido quien solicita el código. En este caso se trata de una persona que fue víctima del robo de la cuenta y solicita el código simulando ser el titular de la cuenta.
Mensaje solicitando el código de verificación que puede llegar a la víctima desde un número desconocido o incluso de un contacto al que previamente robaron su cuenta.
Ingeniería social para robar el código de verificación
Pero con el tiempo hemos visto que los cibercriminales han explorado otras formas de ingeniería social para que las excusas suenen más creíbles. Por ejemplo, se hacen pasar por soporte técnico de WhatsApp para informar que es necesario verificar su cuenta debido a una actividad sospechosa en su cuenta.
Mensaje inicial que envían estafadores simulando ser soporte de WhatsApp para robar el código de verificación y secuestrar la cuenta.
Para tomar dimensión del tipo de excusas que pueden utilizar, en Argentina, por ejemplo, los estafadores han aprovechado el tema de las vacunas contra la COVID-19 para contactarse con las personas en nombre de un organismo de salud para supuestamente coordinar el turno para la vacuna. En este contexto, las personas creen que realmente se comunican desde el área de la salud del gobierno y comparten el código de verificación creyendo que se trata de un código para confirmar el turno. Estos mensajes son enviados desde cuentas de WhatsApp falsas o robadas y utilizan como imagen de perfil el logo de organismos oficiales.
Robo del código de verificación a través del buzón de voz
Si bien lo más común es que los ciberdelincuentes busquen convencer a la persona mediante un mensaje o llamada para que compartan el código que llega vía SMS, como mencionamos antes, WhatsApp también ofrece la opción de enviar el código de verificación de seis dígitos a través de una llamada. Los cibercriminales saben esto y también lo aprovechan para obtener el código. ¿Cómo? Lo que hacen los delincuentes al intentar registrar tu cuenta de WhatsApp desde otro dispositivo es solicitar que el envío del código sea a través de una llamada. Si la víctima no contesta la llamada WhatsApp o la línea está ocupada, WhatsApp deja el código como mensaje de voz en el buzón de voz. Y lo que muchas personas no saben es que con algunos operadores de telefonía puede resultar sencillo para un delincuente acceder al buzón de voz de un número, sobre todo porque muchas personas no tienen configurado el acceso al buzón de voz con una clave PIN o no cambiaron la que viene por defecto.
En algunos casos hemos visto que los estafadores suelen recurrir al método de la llamada en horas de la madrugada aprovechando que la mayoría de las personas duermen y probablemente no atiendan el teléfono.
¿Qué hacer para evitar el robo de la cuenta de WhatsApp? Además de nunca compartir un código que lleva vía SMS con nadie, lo más importante es activar la autenticación en dos pasos en la app. De esta manera, el cibercriminal no podrá acceder a tu cuenta porque necesitará una clave PIN que solo tu sabes (no lleva vía SMS).
Te invitamos a escuchar el episodio completo del podcast Conexión Segura donde compartimos otras recomendaciones para evitar el robo de cuentas de WhatsApp y hablamos también sobre otros temas clave, como los datos personales y las consecuencias de que caigan en manos indebidas, y también analizamos qué nos dice el hecho de que en 2022 se haya registrado un pico histórico en las vulnerabilidades reportadas y que en 2022 las vulnerabilidades más utilizadas por cibercriminales en ataques en América Latina hayan sido utilizando vulnerabilidades de 10 años de antigüedad.
