El Instituto Nacional de Ciberseguridad advierte que ha crecido el número de usuarios que sufren este ataque y recuerda que no se debe pagar por recuperar la cuenta: WhatsApp tiene un método oficial para ello.
El robo se lleva a cabo engañando a la víctima para que suministre su propio código de verificación de WhatsApp. Esta clave permite activar la cuenta de WhatsApp en un dispositivo nuevo, que la app envía vía SMS.
El Instituto Nacional de Ciberseguridad advierte que ha crecido el número de usuarios que sufren este ataque y recuerda que no se debe pagar por recuperar la cuenta: WhatsApp tiene un método oficial para ello.
"La verdad es que soy tonta, porque leyendo otra vez el mensaje de mi novio... él nunca me habría escrito así, pero estaba trabajando y no lo he pensado", se lamenta Irene, una usuaria de WhatsApp afectada por la última oleada de robos de cuenta que asola la plataforma de mensajería. Casos como el suyo son cada vez más habituales en las últimas semanas: el atacante secuestra la cuenta de WhatsApp de la víctima utilizando como gancho a sus contactos cercanos, que a su vez habían sido hackeados con anterioridad.
El robo se lleva a cabo engañando a la víctima para que suministre su propio código de verificación de WhatsApp. Esta clave permite activar la cuenta de WhatsApp en un dispositivo nuevo, que la app envía vía SMS. Si un tercero accede a él podrá secuestrar el perfil de WhatsApp del destinatario, mandar mensajes a los chats activos o interactuar en los grupos para mandar enlaces fraudulentos. "Como es un contacto conocido el que nos pide el código, no nos hace desconfiar. Pero ese contacto, a su vez, también había sido víctima del fraude. Es un ataque en cadena", detalla Ruth García, del Instituto Nacional de Ciberseguridad (Incibe).
Este tipo de ciberataque no es nuevo, pero se ha intensificado. "En las últimas semanas estamos viendo un repunte de este fraude", avisa la experta, técnico del área de Ciberseguridad para Ciudadanos del organismo. "Hay un número creciente de usuarios que nos están reportando que se han visto afectados por el secuestro de sus cuentas. Ahora mismo estamos en una tendencia al alza, no sabemos lo que podría durar".
Uno de los objetivos del ataque es replicarse, es decir, reenviar la solicitud del código de verificación a otros contactos próximos de la víctima y robar sus cuentas. Más allá de eso, los fines pueden ser múltiples y el Incibe no ha detectado que la campaña de fraudes persiga uno en concreto.
"Una vez que hackean la cuenta, se puede aprovechar para enviar enlaces a páginas fraudulentas, para hacer phishing, sorteos fraudulentos, suplantaciones de identidad, robo de datos bancarios..."
"Una vez que hackean la cuenta, se puede aprovechar para enviar enlaces a páginas fraudulentas, para hacer phishing, suplantaciones de identidad, robo de datos bancarios...", enumera García. "También pueden utilizar tácticas de ingeniería social para sonsacar información a la víctima con la que luego extorsionarla", añade.
En último extremo, también se puede utilizar este tipo de secuestro de la cuenta de WhatsApp para realizar un ataque dirigido a una persona en concreto. El fin puede ser hacerse con información confidencial que los atacantes sepan que está en posesión de esa persona, o reclamar un pago por la recuperación de la cuenta. No obstante, estas son situaciones excepcionales, expone García: "En la mayoría de los casos que estamos viendo ahora mismo el ataque no se produce porque seas una persona concreta sino porque has resultado ser una víctima más".
Como en todos los ciberfraudes, la recomendación de todos los especialistas es no pagar nunca ni aceptar ningún tipo de extorsión, puesto que casi siempre existe la manera de recuperar la cuenta.
Cómo recuperar la cuenta de WhatsApp
Bloquear el acceso de terceros a la cuenta de WhatsApp requiere el mismo proceso que el ataque utiliza para secuestrarla: solicitar a la app un código de verificación desde el teléfono del propietario original. Este llegará vía SMS y deberá introducirse en la aplicación. "El código es único y cambia cada vez que verificas un número de teléfono o un dispositivo nuevos", explica WhatsApp, quien da instrucciones específicas para teléfonos Android y para teléfonos iPhone.
Si alguien accede a tu cuenta en otro dispositivo no podrá leer tus conversaciones pasadas
"Ten en cuenta que WhatsApp proporciona cifrado de extremo a extremo y los mensajes se almacenan en tu dispositivo, de manera que si alguien accede a tu cuenta en otro dispositivo no podrá leer tus conversaciones pasadas", recuerda la compañía.
El código de verificación no debe ser compartido con nadie por ningún motivo, "ni siquiera con tus familiares o amigos", pide WhatsApp. En caso de haberlo hecho, incluso aunque no se haya detectado ningún comportamiento extraño en la cuenta personal, es recomendable solicitar un nuevo código e introducirlo en la app como medida de seguridad.
El problema es que la recepción del código puede no ser instantánea. "Hemos detectado que pueden transcurrir unas horas o incluso días", avisa Ruth García. Además, en caso de que el atacante haya activado la verificación en dos pasos –algo poco común– WhatsApp afirma que el proceso de recuperación durará una semana. "Debes esperar siete días para poder verificar tu número sin el código de verificación en dos pasos. Independientemente de si sabes el código de verificación en dos pasos o no, la sesión de la persona con acceso a tu cuenta se cerrará en cuanto ingreses el código de seis dígitos enviado por mensaje SMS", detalla la aplicación.
"Lo normal es que siempre se pueda recuperar y que no haya ningún problema. En cualquier caso, si esto no fuera así, tendríamos que recopilar las evidencias que tengamos del supuesto secuestro de nuestra cuenta y proceder a interponer una denuncia para que quede constancia de la situación", explica la técnico del Incibe.
La recomendación del Incibe es mantener la calma durante ese período de incertidumbre y no atender a ninguna demanda de los atacantes. Tanto WhatsApp como el Instituto de Ciberseguridad piden que se aproveche este período para avisar al resto de contactos de lo sucedido, explicar en qué consiste el fraude y la necesidad de no clicar en ningún enlace enviado desde la cuenta afectada.
"Comunicándolo al resto de usuarios se ayuda a que el resto de personas sean conscientes de que se está produciendo y que nuestros contactos no sean víctimas a su vez de él", explica Ruth García: "Como este ataque circula en cadena, si no se conoce su existencia es más fácil que pueda seguir circulando y resulte más complicado luego ponerle freno".