“Hola papá, se me ha perdido el celular y te escribo desde este nuevo número. ¿Puedes enviarme dinero? Tengo prisa”. Así comienza la conocida estafa del hijo en apuros, que sigue circulando por los móviles en España y, más allá del dinero, uno de los botín que persiguen los atacantes es el WhatsApp del propietario. La aplicación de mensajería más popular del mundo sigue siendo el principal objetivo de los ciberataques, alcanzando casi el 90% del total, según un estudio publicado por la empresa de seguridad informática Kaspersky.
¿Por qué WhatsApp? “Si consigues una cuenta de WhatsApp, tienes acceso creíble a todo el espectro de amigos, familiares y compañeros de trabajo”, explica Fernando Suárez, presidente del Consejo General de Facultades de Ingeniería Informática, y esta credibilidad puede desencadenar una solicitud de dinero. datos personales “o incluso fotografías, que luego se utilizan para extorsionar a la víctima”.
La estafa del hijo en apuros, en muchas ocasiones, se utiliza para solicitar una entrega de dinero a través de Bizum, PayPal o incluso una transferencia bancaria. Esta técnica aprovecha la vulnerabilidad de un padre que da por sentada una supuesta situación de emergencia de su hijo y procede a pagar sin dudarlo. Aunque esta técnica se utiliza inicialmente desde una línea de terceros, se vuelve más veraz y creíble si el mensaje proviene de la propia cuenta de WhatsApp del remitente.
Y es que, una vez tienen el control de la cuenta, los atacantes pueden escribir desde ella a los contactos de la víctima solicitando abiertamente dinero, como en la mencionada estafa, o más datos personales que luego pueden utilizar para extorsionar al titular de la cuenta. La sofisticación de los atacantes se extiende incluso al uso de sintetizadores de voz para emular el tono del propietario para enviar audios: “Los ciberdelincuentes utilizan la cuenta comprometida para solicitar transferencias de dinero a los contactos de la víctima, utilizando incluso tecnologías de inteligencia artificial para imitar la voz”. de la víctima”, informa Kaspersky.
Del mismo modo, quien tiene el control de la cuenta tiene acceso a material gráfico y videos, tanto recibidos como enviados, que luego pueden ser utilizados como coacción para solicitar dinero.
¿Cómo es el ataque a la cuenta?
Lo primero que hay que tener claro es que WhatsApp, como el resto de plataformas de mensajería, cuenta con un sistema de verificación de dos factores. Es decir, necesitas tener un código temporal (conocido como simbólico), que se envía al teléfono móvil registrado en la cuenta para acceder a ella. Esto lo experimentan quienes compran terminales nuevos, cuando intentan configurar WhatsApp en el teléfono móvil recién adquirido. Un ciberatacante puede conocer el número de teléfono de la víctima; los números están disponibles en la página red oscura o foros dedicados, debido a filtraciones y vulnerabilidades, pero carece de lo antes mencionado simbólico para poder tomar el control de la cuenta.
Por lo tanto, cuando se lleve a cabo el ataque, la víctima recibirá primero un SMS oficial de WhatsApp con el mencionado código temporal, y aquí es donde todo sucede muy rápidamente. Inmediatamente, el piratas informáticos Se comunicarán con la víctima haciéndose pasar por un amigo o familiar, indicándole que, por error, ingresó su número de teléfono y necesita recibir ese código. Si la víctima te dice esto, junto con el código de seguridad adicional, habrás perdido el control de la cuenta y el ataque se habrá completado.
Qué hacer para proteger su cuenta
Como suele ocurrir en otros ataques que utilizan suplantación de identidadel piratas informáticos Utilizan el factor humano, que es el eslabón más débil de toda la cadena de protección. Para reforzarlo, los expertos recomiendan adoptar las siguientes medidas:
- Solicitudes de desconfianza por mensaje. “Es importante permanecer alerta y desconfiar de cualquier mensaje que solicite información personal o haga clic en enlaces, incluso si parece provenir de un contacto conocido”, recomienda la multinacional Kaspersky. Los ataques son cada vez más sofisticados y es fácil bajar la guardia cuando creemos que es un familiar o amigo el que nos escribe. A ello se refiere Suárez, quien habla de una «voluntad previa de la víctima» para advertir de que «nadie recibe un código en su teléfono móvil si no lo ha solicitado antes». Asimismo, nunca debes hacer clic en un enlace si no estás 100% seguro de su origen. “En general, se debe desconfiar de cualquier mensaje que solicite información que a priori pueda parecer extraña y, en la medida de lo posible, se debe intentar comprobar la identidad mediante una llamada telefónica al contacto”, añade José Luis Díaz, general Director de Advens España y Portugal.
- Contactar con el remitente por otro medio. Los ciberatacantes suelen intentar engañar a sus víctimas haciéndose pasar por familiares o amigos; Si esto sucede, una buena solución es contactar con ellos por otro medio -una llamada telefónica puede ser suficiente- para comprobar si esta comunicación es real o no.
- Activar la verificación en dos pasos. WhatsApp incluye una extensa lista de recomendaciones de seguridad para proteger tu cuenta al máximo. Entre ellos, es imprescindible asegurarse de tener activada la verificación en dos pasos (dentro del propio dispositivo). aplicación, en Configuración > Cuenta > Verificación en dos pasos). Al activarse, la plataforma pide crear un PIN de seis dígitos y, en caso de que el usuario lo olvide, da la opción de agregar una cuenta de correo electrónico para recuperarlo.
- Usar antimalware y tener el dispositivo actualizado. El uso de antivirus en teléfonos móviles siempre ha sido motivo de controversia, especialmente en iPhone, pero supone una capa adicional de seguridad para detectar el virus. malware: funciona analizando y detectando enlaces que puedan llegar a través de WhatsApp. Mantener actualizado tanto el aplicación de WhatsApp como sistema operativo del teléfono, también garantizan que se aborden las últimas vulnerabilidades.
puedes seguir EL PAÍS Tecnología en Facebook y X o regístrate aquí para recibir nuestra boletín semanal.
