Por Jaime Berditchevsky, director general para México en Kaspersky
En días recientes hemos visto cómo políticos, periodistas y personajes públicos han sido víctimas del robo de sus cuentas de WhatsApp. Seguramente muchos usuarios también se encuentren en esta misma situación. Y es que, a pesar que desde mayo Kaspersky alertó de una nueva modalidad de robo de cuentas en esta plataforma, pocas personas han tomado las medidas que pueden protegerlos.
Las cuentas de WhatsApp tienen un valor importante para los ciberdelincuentes, pues al apoderarse de ellas, pueden hacerse pasar por otras personas para realizar extorsiones, solicitar dinero a nombre de alguien más, difundir noticias falsas o incluso, dañar la reputación de una figura pública.
En el pasado, los cibercriminales han lanzado estafas de WhatsApp valiéndose de tácticas, como la verificación de anuncios, la invitación a una fiesta o evento VIP, y la clonación de cuentas al robar la foto de las víctimas. La mejor manera para evitar estos tipos de fraudes solía ser la activación de la verificación de dos pasos, donde el usuario crea una contraseña personal que se solicita en el momento de la instalación de la app. Sin embargo, hace seis meses, expertos de la compañía descubrieron un esquema que burla esta protección.
El fraude comienza con una llamada a la víctima, donde los delincuentes se hacen pasar por representantes de alguna institución y, por ejemplo, piden responder una encuesta. Al finalizar, el defraudador le pide a la víctima compartir el código que le será enviado a su celular para registrar su participación en la encuesta y evitar que la institución lo vuelva a llamar. La puesta en escena tiene un objetivo claro: hacer que la víctima comparta el código de seis números que se envía vía SMS, el cual en realidad es el código que la app envía para poder activar la aplicación en un teléfono nuevo. Si la víctima no presta atención al mensaje y entrega el código, seguramente su cuenta será robada.
La “novedad” de la estafa, que están padeciendo algunos usuarios mexicanos, surge cuando el delincuente se encuentra con que la cuenta de la víctima tiene habilitada la doble autenticación. El defraudador vuelve a llamarle, pero esta vez se hace pasar por el equipo de soporte de WhatsApp con el pretexto de que se ha identificado actividad maliciosa en la cuenta. La víctima recibe instrucciones de revisar su correo electrónico y buscar el mensaje con el enlace que le permitirá registrarse de nuevo en la doble autenticación. Sin embargo, al hacer clic en el enlace, la protección de doble factor se deshabilita lo que permite a los delincuentes, quienes ya cuentan con el código de activación temporal, robar la cuenta.
Pese a todo, es recomendable que se habilite la autenticación de doble factor en WhatsApp. Para ello debe ir al menú de “Configuración”, hacer clic en “cuenta” y seleccionar la opción “verificación en dos pasos”, lo que le permitirá crear un código de seis dígitos que debe cumplir tres requisitos fundamentales: que no sea su fecha de nacimiento, que usted pueda recordar fácilmente y que jamás sea compartido con absolutamente nadie.
La ignorancia es el mayor desafío para la seguridad móvil y es lo que permite que los ciberdelincuentes desarrollen y ejecuten campañas exitosas. El peor error que cometemos es pensar que, al ser usuarios comunes y corrientes, no seremos blanco de los criminales. El conocimiento y la prevención son nuestros mejores aliados cuando hablamos de ciberseguridad.