La nueva estafa en WhatsApp: robarte la cuenta con el SMS de verificación

WhatsApp era hasta poco la app más descargada del mundo, un trono del que le ha apartado TikTok. Aún así es el servicio de mensajería más famoso y, por ello, el que más intentan hackear los ciberdelincuentes. En los últimos meses se ha puesto de moda un modus operandi para robar la identidad de las cuentas usando el SMS de verificación que manda la propia compañía.

Según alerta la compañía Panda Security, se ha popularizado el sistema de enviar un mensaje a la víctima haciéndose pasar por el servicio técnico. En el texto, como puede verse en la imagen de más abajo, indican que alguien habría registrado una cuenta de WhatsApp con el mismo número de teléfono de la víctima. Hablan de que no pueden determinar si hay un “inicio de sesión ilegítimo”.

Este mensaje del supuesto equipo soporte técnico se envía desde WhatsApp, pero a la par le llegaría a la víctima un SMS con un código de verificación. Este último sería el objetivo de los hackers: “Le hemos enviado una solicitud de verificación de la identidad para corroborar la raíz [SMS]. Si no consigue pasar la verificación o abandona el intento, se generará una suspensión indefinida”. Hacen creer al usuario que puede perder el acceso a su cuenta si no les facilita el código, algo que nunca hace la aplicación vía conversación.

Si la víctima envía ese código a los hackers perderá al momento el control de su cuenta y estará cediendo su usuario. A partir de ahí los ciberdelincuentes tendrían pleno acceso a las conversaciones privadas y a la lista de contactos, con los que seguir expandiendo sus robos de cuentas siguiendo la misma estrategia o suplantando la identidad de la víctima para otros fines.

Cada cuenta de WhatsApp está vinculada a un número de teléfono y no al dispositivo móvil, por ello cada vez que un usuario cambia de smartphone necesita solicitar el código de verificación que llega vía SMS. Un sistema que se utiliza para que no pueda haber teléfonos usando la misma cuenta de WhatsApp a la vez. Cuando es el mismo usuario el que pide esa clave de seis dígitos, ésta se pone de forma automática en la app al recibir el mensaje y WhatsApp empieza a funcionar.

“Se trata de un ataque muy inteligente, porque los ciberdelincuentes se sirven de las propias medidas de seguridad de la compañía para convertirlas en una vulnerabilidad”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.

Este tipo de ciberataque es un delito contra la privacidad que puede conllevar penas de entre uno y cuatro años de cárcel. Cuando se reciban estos mensajes lo mejor es ignorarlo o ponerlo en conocimiento de la policía para denunciarlo.

La Vanguardia