Click acá para ir directamente al contenido
  • Ciberseguridad
  • 2 de junio 2021

Estafa engaña a usuarios para que entreguen su acceso a WhatsApp

La recomendación es nunca entregar códigos que llegan por SMS y protegerse con autentifación de dos factores.

Varias personas han reportado que "les hackearon el WhatsApp" en los últimos días. Un atacante obtiene acceso a la cuenta de la app de un usuario y procede a pedir dinero a los contactos de esa persona inventando diferentes excusas.

1. ¿Cómo acceden al WhatsApp?

Se trata de un ataque de ingeniería social, donde los atacantes engañan al usuario para que entregue su código de verificación. Para activar WhatsApp en un nuevo dispositivo, la aplicación envía un código numérico vía SMS al teléfono asociado a la cuenta. Este código va cambiando y tiene validez solo durante algunos minutos.

Lo que hacen los estafadores es inventar una historia para convencer al usuario de entregar sus números de verificación, enviando mensajes o llamando por teléfono a la víctima. Con eso, los atacantes activan la cuenta del usuario en un nuevo dispositivo y comienzan a tratar de estafar a los contactos del usuario.

2. ¿Puedo recuperar la cuenta?

Para recuperar la cuenta hay que seguir el mismo proceso que realizaron los atacantes: volver a registrar la cuenta y esperar que llegue el código de verificación al número. Lamentablemente pasa en muchos casos que el proceso queda bloqueado por varias horas, en las que WhatsApp no volverá a enviar un nuevo código de verificación. En ese tiempo, los atacantes estarán intentando estafar a los contactos, por lo que es vital tratar de avisar a todo el mundo que la cuenta fue robada.

3. ¿Cómo me protejo?

La recomendación es nunca compartir con nadie los códigos que llegan vía SMS. Pero lo mejor es prevenir, y para eso es conveniente activar algunas medidas de seguridad adicionales, como la autenticación en dos pasos. Esto te obliga ingresar un número PIN adicional al código que se envía por SMS, que solo tú conoces. Con eso, los atacantes no podrían activar la cuenta en otro equipo porque les faltaría la autenticación extra. Así lo recomienda Pablo Bello, director de Políticas de Mensajería Privada de Facebook para América Latina.