Un simple despiste puede hacernos perder la cuenta de WhatsApp. Es lo que le ha pasado a el líder de Ciudadanos, Albert Rivera, quien ha sufrido un ataque en su teléfono mediante un mensaje-trampa que le ha hecho perder acceso a su cuenta de WhatsApp, según ha confirmado un portavoz del partido naranja a El Mundo.

¿Cómo es posible “hackear” el WhatsApp de un alto cargo político? La Unidad de Delitos Telemáticos (UCO) de la Guardia Civil será la encargada de examinar todos los detalles, pero el ataque ha sido a través del phishing, una técnica fraudulenta con la que engañar a la persona y acceder a su cuenta.

Como describe un portavoz oficial de Ciudadanos a El País, el político barcelonés involuntariamente proporcionó las claves de su WhatsApp. A través de un mensaje enviado por los atacantes, verificó su cuenta pensando que era la propia WhatsApp quien lo solicitaba.

Cómo funciona el phishing en WhatsApp

El ataque al WhatsApp de Rivera cumple todas las características del clásico ataque de phishing. El objetivo de esta técnica es sencillo: hacerse pasar por la empresa original para que el usuario facilite sus propias claves. ¿Cómo lo han logrado con Rivera? El político recibió en su cuenta un mensaje que alertaba de que “alguien había intentado acceder a su perfil de WhatsApp desde otro dispositivo“.

En otras ocasiones, la Policía ha denunciado técnicas de phishing a través de SMS, acompañadas de un breve texto y un enlace que nos invita a pinchar. Un texto de phishing que también puede llegar directamente a través de WhatsApp, ya que la aplicación de mensajería está ligada al número de teléfono. En el caso de Albert Rivera, no está claro si el mensaje se recibió a través de correo electrónico, SMS o a través de la propia WhatsApp.

Sms Ejemplo de SMS-trampa (que no debemos pulsar) para “verificar nuestra cuenta de WhatsApp”.

Tal y como describe El Mundo, el proceso para engañar a Rivera habría sido el siguiente: en primer lugar los atacantes hicieron que WhatsApp le enviase un mensaje para comprobar que era él. Seguidamente, enviaron otro mensaje advirtiendo que había sido atacado, con datos de ubicación y hora del presunto ataque frustrado. En este mensaje-trampa es donde se solicitó que introdujera el código de seguridad que antes había recibido para verificar su identidad.

Albert Rivera habría hecho clic en el mensaje e introducido el código de verificación, facilitando a los atacantes tomar el control completo de su cuenta de WhatsApp. Un control que aprovecharon para cambiar la contraseña y bloquear el acceso a su cuenta. Dejando a Rivera sin acceso a ella, como explican desde El Mundo.

Con la cuenta en posesión de los atacantes y validada, estos tienen la capacidad de enviar mensajes en nombre de Albert Rivera, descubrir contactos y hacer capturas de los nuevos mensajes recibidos, que llegarán al móvil de los atacantes. No así hacer capturas de mensajes anteriores, pues los mensajes se almacenan en el dispositivo, de manera que si alguien accede a tu cuenta en otro dispositivo no podrá leer tus conversaciones pasadas, como especifica WhatsApp en su FAQ sobre cuentas robadas.

Primer paso para evitarlo: no hacer clic en esos mensajes

La ciberseguridad es un tema clave en estos días donde hay tanta información susceptible dentro de nuestros móviles y sus aplicaciones. Una de las reglas básicas para protegerlo es nunca compartir códigos ni contraseñas a través de mensajes que recibamos. Hay ataques de phishing más elaborados que otros, pero una de las pautas que hay que seguir es no hacer caso a ninguno de estos mensajes, pues empresas como WhatsApp nunca utilizan esta vía para confirmar nuestra identidad.

Como explica la propia WhatsApp desde su página oficial:

“Nunca compartas tu código de verificación de WhatsApp con nadie, ni siquiera con familiares o amigos. Si por algún motivo compartiste tu código y pierdes acceso a tu cuenta de WhatsApp. Si sospechas que otra persona está usando tu cuenta de WhatsApp, debes notificar a tus familiares y amigos que dicha persona podría hacerse pasar por ti en tus chats individuales y de grupo”.

Adicionalmente, si sospechas que alguien ha accedido a tu cuenta también recomiendan cerrar la sesión en WhatsApp Web/Escritorio en todas la computadoras desde tu teléfono.

Verificación en dos pasos: un extra para evitar algunos de estos ataques

verificacion WhatsApp dispone de verificación en dos pasos, un extra de seguridad que podemos activar para dificultar el acceso a nuestra cuenta.

La cuenta de WhatsApp está asociada al número de teléfono vía SMS (por lo que el atacante debe conocer tu número), pero desde 2017 existe la función de verificación en dos pasos para añadir una capa de seguridad adicional. Se trata de un código PIN de seis dígitos que podremos añadir desde el menú de Ajustes.

Con la verificación en dos pasos nos aseguramos de que nadie pueda registrar el número de teléfono en otra cuenta, aunque lograra usar métodos para recibir el código de verificación. Para activarlo debemos ir a Ajustes > Cuenta > Verificación en dos pasos.

Adicionalmente podemos añadir una dirección de correo electrónico, que igualmente deberemos escribir dos veces para confirmarla. Una cuenta que nos será útil en caso de olvidar el código PIN.

Con el uso de la verificación en dos pasos lo que hacemos es añadir complejidad y más información necesaria para acceder a la cuenta de WhatsApp. Es una herramienta algo intrusiva y molesta, pero es una práctica recomendada, sobre todo en casos como el de Albert Rivera cuya cuenta de WhatsApp es susceptible de ser atacada por ser un personaje público.

Las llaves USB de seguridad son la mejor opción

Phising

Sin embargo, la verificación en dos pasos también se ha mostrado vulnerable a los ataques. Una contraseña de seis dígitos puede ser fácilmente descifrada, sobre todo si la secuencia se repite o se utilizan datos personales para crearla. Es por esto, que los expertos recomiendan el uso de tokens físicos para evitar el phishing.

Un estudio de Amnistía Internacional observó que la verificación en dos pasos no era suficiente, pues con páginas web falsas pueden engañar al usuario para que introduzca tanto su contraseña, como para ingresar también el código SMS y el teléfono. Para impedirlo, existen llaves o tokens de seguridad USB como Yubikey o las de la propia Google, un sistema bastante más eficaz contra los ataques de phishing y que habría impedido que Albert Rivera perdiera el control de su cuenta de WhatsApp.

Imagen | Carlos Delgado