Los ciberdelincuentes cada día siguen inventando nuevas estrategias para alcanzar sus fines. En esta ocasión, los cibernautas deben estar atentos a lo siguiente: los hackers están usando un truco que les permite secuestrar la cuenta de WhatsApp de la víctima. Por tanto, logran obtener acceso a los mensajes personales y la lista de contactos.
¿Y cuál es la estrategia que usan para lograr sus fines? Digamos que su método se basa en el servicio automatizado de los operadores móviles, específicamente en el desvío de llamadas. Y también usan la opción de WhatsApp para enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.
¿Cuál es el truco que usan los hackers que roban cuentas de WhatsApp?
Rahul Sasi, fundador y CEO de la empresa de protección de riesgos digitales CloudSEK, publicó los detalles sobre el método que usan los hackers para robar cuentas de WhatsApp. Esto es lo que suelen hacer:
- El atacante tarda unos minutos en apoderarse de la cuenta de WhatsApp de una víctima. Sin embargo, el hacker necesita saber el número de teléfono del objetivo y llevar a cabo algo de ingeniería social.
- El hacker debe convencer a la víctima de que haga una llamada a un número que comience con un código de interfaz hombre-máquina (MMI), uno que el operador de telefonía móvil configuró para habilitar el desvío de llamadas.
- Los códigos MMI comienzan con una estrella (*) o un símbolo de almohadilla (#). Estos se encuentran fácilmente y todos los principales operadores de redes móviles los admiten.
- De acuerdo con Sasi: “Primero, recibes una llamada del atacante que te convencerá de hacer una llamada al siguiente número **67* o *405*. En unos minutos, su WhatsApp se desconectaría y los atacantes obtendrían el control total de su cuenta”.
- El investigador explica que el número de 10 dígitos pertenece al atacante. Y que el código MMI delante de él le dice al operador de telefonía móvil que reenvíe todas las llamadas a un número de teléfono especificado. Todo ocurre cuando la línea de la víctima está ocupada.
- Después de haber engañado a la víctima, el atacante inicia el proceso de registro de WhatsApp en su dispositivo. El hacker escoge la opción de recibir la OTP a través de una llamada de voz.
- Luego de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo. Incluso habilitar la autenticación de dos factores (2FA), lo que evita que los propietarios reales recuperen el acceso.
Pero el truco no es tan fácil
El truco de los hackers que roban cuentas de WhatsApp parece sencillo, pero los atacantes deben cumplir con estas condiciones:
- Lo más importante de todo: el atacante debe asegurarse de que utiliza un código MMI que reenvía todas las llamadas, sin importar el estado del dispositivo de la víctima. Sin embargo, si el atacante también recurre a la ingeniería social, lo demás es fácil. Debido a que solo tiene que involucrar al objetivo en una llamada telefónica. Y hacerla durar lo suficiente para recibir el código OTP de WhatsApp por voz.
- Y si el desvío de llamadas ya se activó en el dispositivo de la víctima, el atacante debe usar un número de teléfono diferente al que usó para la redirección.
- La pista más clara de actividad sospechosa para el usuario ocurre después de que los operadores móviles activan el desvío de llamadas, pues verá una advertencia superpuesta en la pantalla que no desaparece hasta que el usuario la confirma.
- Pese a esa advertencia, los hackers tienen grandes posibilidades de éxito, debido a que la mayoría de los usuarios no están familiarizados con los códigos MMI. Y estos pueden idear un escenario que les permita mantener a la víctima ocupada en el teléfono hasta obtener el código OTP para registrar la cuenta de WhatsApp de la víctima en su dispositivo.
Protegerse contra este tipo de ataques es fácil, ya que puedes activar la protección de autenticación de dos factores en WhatsApp. Esto podría evitar que los hackers consigan el control de la cuenta al solicitar un PIN cada vez que registran un teléfono con la aplicación de mensajería.