Una cadena de suplantación de identidad lleva al robo de cuentas de aquellos incautos o confiados en extremo que no conocen las reglas de la aplicación de mensajería
Desde hace unos meses se ha desatado una cadena de suplantación de identidad en WhatsApp. Esta estafa se traduce en un robo de cuentas en la aplicación de mensajería, una de las más populares del mundo, Cuba incluida.
La estafa inicia de esta manera: uno de tus contactos te deja un mensaje en el que afirma que te envió por error mediante SMS su código de seis dígitos, a ver si se lo puedes facilitar. Imagina que este contacto es tu pareja, tu mejor amigo, o tu mamá. El incauto receptor, si da el código de seis dígitos que tiene en sus SMS, pierde la cuenta.
Resulta que cuando inicias sesión en WhatsApp con un número de teléfono, este envía un SMS con seis dígitos que son el código de confirmación para ingresar en tu cuenta, pero WhatsApp solo permite tener la cuenta activa en un teléfono a la vez.
Hace unas semanas hablamos del fenómeno a través del podcast de Código Fuente, pero comentarios y correos llegados a esta redacción nos hacen retomar el tema para advertir a nuestros lectores de este fenómeno.
El método empleado en esta estafa es muy efectivo. Una vez que se logra suplantar a alguien, es mucho más fácil seguir la cadena y hacerse con las cuentas de todos sus contactos.
La forma es relativamente sencilla: los ciberdelincuentes intentan iniciar sesión con tu número en WhatsApp en un móvil diferente. La aplicación de mensajería envía un código de seis dígitos para verificar que eres el propietario de la cuenta, y ese es el código que te pedirán.
De forma casi instantánea, el ladrón de datos, que ya tiene en su poder la cuenta de tu otro contacto, si recibe ese código que te solicitó, puede acceder a toda tu información de WhatsApp.
Cuando los hackers logran hacerse con tu cuenta, la única opción que te queda es solicitar otro código de verificación e insertarlo de forma inmediata. Si eso no funciona, lo que se puede hacer es contactar con WhatsApp e informarle del robo de cuenta. La propia aplicación de mensajería explica cómo recuperar la cuenta en su página de preguntas frecuentes.
Sin embargo, si se ha activado la opción de verificación en dos pasos, la cuenta quedará bloqueada y no se podrá recuperar hasta que haya pasado una semana.
Paralelamente, se debería enviar un correo o mensaje a todos los contactos posibles, para advertir del robo de la cuenta en WhatsApp.
Una estafa de este tipo tiene varios propósitos. El atacante puede incrementar su cadena de cuentas robadas a base de los incautos, y luego emplearlas en lo que se conoce como spoofing, una técnica de hackeo cuyo fin es la suplantación de identidad para acceder a cuentas personales y robar datos, dinero de cuentas bancarias, entre otros.
Por otro lado, mientras los contactos de la cuenta robada no estén advertidos, se podría emplear su identidad, digamos, para pedir ayuda económica a personas cercanas alegando una situación extraordinaria, dependiendo del perfil de la cuenta obtenida.
«Estas actuaciones suelen estar fuertemente automatizadas (suelen ser bots que se comunican con la API de WhatsApp para ir solicitando la recuperación, para no ir número por número de manera manual), razón por la cual en ocasiones llega a perfiles de los que parece que no va a poder obtener nada. Diferente sería si se pudieran realizar pagos de manera directa desde WhatsApp, que actualmente no es el caso», dijo a Xataka, publicación especializada en tecnología, un experto en ciberseguridad.
Casos más extremos llevan a lo que se conoce como el fraude del CEO, del cual fue víctima en diciembre de 2020 el grupo farmacéutico Zendal. Y es que una vez robada una cuenta, se puede tener acceso a otros servicios ligados a esta, como el correo electrónico, por ejemplo.
Un reporte publicado en La voz de Galicia indica que Zendal, una de las compañías farmacéuticas más importantes de España, fue víctima de una millonaria estafa con la técnica del phising.
Un responsable de esta compañía realizó transferencias a una cuenta bancaria por más de nueve millones de euros creyendo que lo hacía por orden de su jefe, cuando en realidad se trataba de un ciberdelincuente que había suplantado su identidad.
Según relata la publicación española, «el jefe financiero de la entidad recibió un correo electrónico en el que el jefe de la empresa le avisaba que iban a establecer contactos con una importante compañía multinacional de un país asiático y que tenía que tener disponible dinero de los fondos propios para podérselos transferir».
El asunto estaba relacionado, supuestamente, con la fabricación de una vacuna contra la COVID-19. Al mismo tiempo, el remitente, que se hacía pasar por un máximo responsable de la entidad, le pidió que actuase con total discreción. El ejecutivo actuó con fe ciega, puesto que el correo electrónico le llegó desde una dirección corporativa.
En ningún momento sospechó que estaba siendo víctima de un engaño y recibió ese mismo día una solicitud para realizar un primer ingreso de 400 000 euros. A esta transferencia le sucedieron otras más. El empleado llegó a realizar hasta un total de 20 transferencias por diferentes importes en el transcurso
de cuatro días, por una suma superior a los nueve millones de euros. Al mismo tiempo, recibía facturas por supuestos servicios prestados que, lógicamente, eran falsas.
Cuando la empresa entró en tensiones financieras, fue que descubrieron la estafa.
Historias como esta dejan varias enseñanzas. En el caso de la estafa de los seis dígitos, lo primero a dejar claro es que ni siquiera WhatsApp te pedirá una confirmación mientras no intentes iniciar sesión con tu número de teléfono. Si tienes la verificación en dos pasos activada, entonces recibirás un SMS cada vez que abras la aplicación, pero nunca un contacto podrá enviar «por error» su código a otro contacto.
Si bien la tecnología abruma a algunas personas, es importante conocer las reglas del juego, especialmente en temas de seguridad, para evitarse dolores de cabeza. El «cacharro que no entiendo» no se gobierna solo, está programado para actuar según nuestras acciones.
Y el tema de los correos electrónicos es todavía más antiguo. Si una actividad parece sospechosa, o riesgosa, como el caso de Zendal y las transferencias de dinero solicitadas por correo, lo mejor siempre será verificar con la persona que supuestamente la pide, ya sea con una llamada telefónica o, mejor aún, cara a cara. Esto último, por ahora, con el debido distanciamiento físico, no olvidarlo.
29
