Cuidado. Una nueva modalidad de hackeo de WhatsApp ya ha afectado a miles de usuarios en todo el mundo y usted también podría ser víctima de ella si su cuenta no se se encuentra debidamente protegida. Se trata del denominado “buzoneo”, método de estafa por medio del cual los ciberdelincuentes se aprovechan de una falla de seguridad, tanto de la aplicación como del buzón de voz, para apropiarse de cuentas de WhatsApp de usuarios desprevenidos, y con propósitos maliciosos.
¿Y cómo funciona el “buzoneo”? Para explicar esto, es necesario recordar cuál es el proceso de instalación de WhatsApp. Cuando un usuario instala la aplicación en un dispositivo nuevo, esta le solicita elegir uno de dos métodos para recibir un código de verificación único: por mensaje de texto o por llamada telefónica. Si se elige la primera opción, el usuario recibe ese código, de seis dígitos, a través de un SMS normal. Si se escoge la segunda, un robot se comunicará por medio de una llamada telefónica y le dictará el mismo código, de seis dígitos, para ingresarlo manualmente en la app.
Tal sistema ha sido utilizado por WhatsApp, y por otras aplicaciones, por mucho tiempo para completar exitosamente la instalación, pero los cibercriminales han encontrado una falla en el mismo, que les ha permitido tener acceso, y en muchos casos hacerse con el dominio completo, de las cuentas de muchos usuarios.
¿Cómo funciona el “buzoneo”?
Juan De Ávila, especialista mexicano en tecnología, explica que este tipo de estafas ocurren especialmente durante la madrugada, cuando es más probable que la víctima no conteste su teléfono. “Amanecen las víctimas con hasta 10 llamadas (perdidas) de un número extraño, a veces del extranjero; de EE. UU. o de Australia incluso, y luego se dan cuenta de que ya no tienen acceso a su WhatsApp. ¿Cómo pasó esto? El ciberdelincuente pidió el código para activar el WhatsApp en otro teléfono (ajeno al usuario) a través de una llamada telefónica y, como la víctima no contestó, ese código se fue al buzón de voz”, indica.
Y es precisamente así como funciona el “buzoneo”. Los cibercriminales se comunican con su objetivo vía telefónica (en muchos casos desde un número extranjero), mientras al mismo tiempo, utilizando el propio número telefónico de la víctima, intentan instalar WhatsApp en un dispositivo ajeno, y cuando la aplicación solicita el código de verificación único, eligen que este se envíe por medio de llamada. Sin embargo, al tener ocupada la línea del usuario, esta llamada, y por consiguiente el código de verificación, pasan directamente al buzón de voz, al cual estos acceden aprovechándose de la vulnerabilidad antes mencionada. Acto seguido, se hacen del código y, finalmente, se apropian de la cuenta de WhatsApp de la víctima.
“Ya nadie usa el buzón de voz. Pero aún así, mucha gente no sabe que es importante configurarlo con una contraseña (personal) por seguridad. Todos los buzones de voz, de todas las compañías, tienen solamente tres contraseñas por default, las cuales no voy a decir para no incrementar el problema. Pero si el usuario no la configura, cualquiera puede ingresar a su buzón de voz de forma muy sencilla”, apunta De Ávila. “Aún así, lo mejor es comunicarse con su operador telefónico y, directamente, cancelar el buzón de voz”, añade.
Según De Ávila, la finalidad de los delincuentes es hacerse con la información personal de la víctima; sus archivos (almacenados en la aplicación) y sus contactos. “Lo hacen al azar. Agarran listas de números, pueden ser cuentas corporativas, bloques o paquetes de números, e intentan hackearlos a todos. La tecnología, en este caso, sí democratiza. Podemos tener el mismo problema yo, usted o incluso un funcionario público”, comenta.
¿Cómo prevenir el hackeo de WhatsApp?
Hay una forma muy simple de prevenir esta nueva modalidad de hackeo de WhatsApp. Hablamos de la verificación en dos pasos, una barrera de seguridad extra que la propia aplicación ofrece al usuario. “No les toma ni dos minutos. No necesitan tener conocimientos avanzados. Son unos cuantos toques en la pantalla, muy sencillos, y van a poder proteger su cuenta”, señala De Ávila.
¿Y cómo se activa esta verificación en dos pasos? En WhatsApp, se debe ingresar a Ajustes; luego a Cuenta y allí se debe elegir la opción Verificación en dos pasos. A continuación, se debe ingresar (dos veces) un código de seis dígitos (personal), y por último (también dos veces) un correo electrónico (personal). Finalmente, se debe pulsar el botón Activar y la verificación en dos pasos queda lista.
“También se recomienda que el código de seis dígitos no sea una secuencia (1, 2, 3, 4, 5, 6, por ejemplo) ni el mismo número repetido seis veces (1, 1, 1, 1, 1, 1, por ejemplo). Y que la dirección de correo electrónico sea personal y una a la que el usuario tenga acceso. ¿Por qué? Porque si alguna vez se olvida del código, podrá recuperarlo a través de dicho correo”, indica De Ávila. “A partir de que la verificación en dos pasos está activa, es muy, muy difícil que les lleguen a hackear el WhatsApp”, finaliza.
