WhatsApp: alertan sobre un nuevo fraude y robo de cuentas
Los ciberdelincuentes lanzaron recientemente diversos ataques a través de WhatsApp, ya sea por medio de cadenas engañosas en donde se promete un premio, o buscando robar las cuentas de los usuarios para aprovecharse de su información personal.
Justamente, ahora se descubrió una nueva técnica que los estafadores están utilizando para quedarse con las cuentas de la app de mensajería.
En el pasado surgieron engaños que se ejecutan mediante la supuesta verificación de anuncios, la invitación a una fiesta o evento VIP, y la clonación de cuentas tras robar la foto de perfil de las víctimas. Hasta ahora la mejor manera para evitar estos tipos de fraudes era la activación de la verificación de dos pasos, donde el usuario crea una contraseña personal que se solicita en el momento de la instalación de la app.
Al parecer, este recurso finalmente se popularizó, pero no para el objetivo previsto ya que analistas de la compañía Kaspersky acaban de descubrir un esquema que, a través del uso de la ingeniería social y una solicitud al área de soporte de la aplicación, burla esta protección.
Cómo funciona la estafa por WhatsApp
Toda la puesta en escena tiene un objetivo claro: hacer que la víctima comparta el código de seis números que se envía vía SMS, el cual en realidad es el código que WhatsApp envía para poder activar la aplicación en un teléfono nuevo. Si la víctima no presta atención al mensaje y entrega el código, su cuenta podría ser robada.
La novedad de la estafa surge cuando el delincuente se encuentra con que la cuenta de la víctima tiene habilitada la doble autenticación. Cuando esto sucede, el defraudador vuelve a llamar a la víctima, pero esta vez se hace pasar por el equipo de soporte de la aplicación de mensajería con el pretexto de que se ha identificado actividad maliciosa en la cuenta. La víctima recibe instrucciones de revisar su correo electrónico y buscar el mensaje con el enlace que le permitirá registrarse de nuevo en la doble autenticación.
Sin embargo, al hacer clic en el enlace, la protección de doble factor se deshabilita lo que les permite a los delincuentes, quienes ya cuentan con el código de activación temporal, robar la cuenta de la víctima.
Lo que más sorprendió a los expertos de Kaspersky es que la víctima recibe un mensaje de correo electrónico legítimo de WhatsApp titulado "Restablecimiento de la verificación de dos pasos" con un enlace que deshabilita esta protección. Al descubrir esto, Fabio Assolini, investigador senior de seguridad en Kaspersky, señala que la ingeniería social de los delincuentes ha alcanzado un nuevo nivel.
"La única forma de que las personas se protejan de esta nueva estafa es sospechar o saber de antemano de que existe. Desde el punto de vista de la seguridad, el proceso de autenticación debe ser mejorado, ya que, de lo contrario, las estafas de robo de cuentas seguirán aumentando. Además, el diseño de la aplicación permite que la estafa deshabilite la autenticación de doble factor. Si, en vez, el enlace enviado llevara al usuario a la página de WhatsApp para ahí restablecer la contraseña de doble factor, los delincuentes no podrían instalar las cuentas en su dispositivo", explica Assolini.
Cómo evitar la estafa
Para evitar ser víctima del nuevo fraude, Kaspersky recomienda:
- Habilitar la autenticación de doble factor (código de seis dígitos) en WhatsApp. Para crearlo, sigue los pasos a continuación:
- Ir al menú y elige "configuración" en la esquina superior derecha. Ingresa a la opción "Configuración", da clic en "Cuenta", selecciona "verificación de dos pasos" y crea una contraseña de seis dígitos.
- Solicitar que tu número de teléfono sea eliminado de listas de aplicaciones que identifican llamadas. Los estafadores pueden utilizar estas listas para encontrar tu número a partir de tu nombre.
- Nunca desactives la autenticación de doble factor, a menos que olvides la contraseña y necesites cambiarla.
- Utilizar tecnología de seguridad informática en todos tus dispositivos.