Parece que una antigua forma de secuestro de cuentas online, esta vez dirigida a WhatsApp, sigue vigente. El hackeo aprovecha la tendencia de los usuarios a no cambiar las credenciales de acceso por defecto al buzón de voz de los teléfonos móviles.
El atacante hace una solicitud para registrar el número de teléfono de la víctima en la aplicación de WhatsApp en su propio teléfono. Por defecto, WhatsApp envía un código de verificación de seis dígitos en un mensaje de texto SMS al número de teléfono de la víctima, para verificar que la persona que hace la solicitud es la propietaria.
En el mejor de los casos, la víctima ve el mensaje alertándole de que algo pasa con WhatsApp y se da cuenta de que alguien está intentando activarlo en otro teléfono. El atacante evita esa alerta lanzando el ataque en un momento en el que la víctima no suele ver su teléfono, como en mitad de la noche, o mientras está en un vuelo. Muchos usuarios pueden incluso tener sus teléfonos configurados en “no molestar” en diferentes momentos del día.
El agresor no tiene acceso al teléfono de la víctima, por lo que no puede ver el código para entrar en él. Tras haber fallado el intento de verificación por SMS, WhatsApp ofrece la opción de llamada al número telefónico de la víctima con un mensaje automatizado que lee el código. Como la víctima no acepta la llamada (porque está durmiendo o con otra ocupación), el mensaje automatizado queda guardado en el buzón de voz.
El atacante aprovecha entonces un fallo de seguridad en muchas redes de operadores, que proporcionan números de teléfono genéricos a los que los usuarios pueden comunicarse para acceder al buzón de voz, incluso haciendo la llamada desde otro teléfono. La única credencial que se requiere para escuchar el buzón de voz es un PIN de cuatro dígitos, y muchas operadoras lo establecen por defecto en algo sencillo como 0000 o 1234, algo que los usuarios no suelen cambiar porque se trata de un servicio poco usado.
Cuando el agresor utiliza el PIN correcto para acceder al buzón de voz de la víctima, puede escuchar el código de WhatsApp y luego introducirlo en su propio dispositivo, completando la transferencia del número de teléfono de la víctima a su propia cuenta de WhatsApp. Ahora el WhatsApp de la víctima está completamente bajo el control del delincuente.
Para sellar el trato, el atacante puede entonces activar la verificación en dos pasos, que es una función opcional que WhatsApp ofrece desde 2017. Esto requiere que el usuario establezca un PIN personalizado, que luego debe volver a introducir si desea reverificar su número de teléfono. Activar esta función impide que la víctima recupere el control sobre su propio número de teléfono.
Cómo proteger tu WhatsApp de esta forma de robo
La mejor forma de mejorar la seguridad es activando la “Verificación en dos pasos” en WhatsApp.
Se trata de un procedimiento sencillo para generar una clave de 6 dígitos que WhatsApp solicita periódicamente para confirmar que el usuario al mando de la cuenta es efectivamente el propietario. También este código es solicitado al reinstalar el mensajero o activarlo en otro teléfono.
Para activar la verificación de dos pasos hay que ir a “Ajustes” (3 puntitos en la esquina superior derecha del mensajero) > Cuenta > Verificación en dos pasos. La herramienta también pide la asociación de un correo electrónico que servirá para la recuperación de la clave en caso de olvido.