El secuestro de cuentas de WhatsApp es uno de los ciberataques más repetidos en los últimos años. El modus operandi es simple: lo único que necesitan los ciberdelincuentes es que el usuario legítimo del perfil les comunique un código enviado por la app, necesario para activarla en otro dispositivo. La última variante de esta estafa es que los ciberdelincuentes finjan ser trabajadores de la Seguridad Social que llaman a la víctima para agendar la tercera dosis de la vacuna del coronavirus.
Así lo ha alertado el Instituto Nacional de Ciberseguridad (Incibe), que avisa que «en los últimos días se han detectado llamadas a usuarios suplantando la identidad de la Seguridad Social, en las que se les solicita un código que han recibido a través de SMS en sus dispositivos móviles». «En la llamada se indica al usuario que es un código de verificación para recibir la tercera dosis de la vacuna contra la COVID-19 pero en realidad es el código de verificación que envía WhatsApp para poder iniciar sesión desde otro dispositivo», detalla.
El envío de ese código al usuario por parte de WhatsApp es solicitado por los propios ciberdelincuentes. El código es el método que utiliza la aplicación para comprobar que el propietario original de la cuenta es la persona que está intentado activarla en otro dispositivo. Si los ciberdelincuentes se hacen con él lograrán acceso total a la cuenta, que utilizarán para impedir que el usuario original pueda seguir usándola. A continuación intentarán sacar el máximo rendimiento económico de ella, ya sea empleándola en otras estafas o chantajeando a la víctima para que pague un rescate por recuperarla.
Desde principios de este año este 2021 las campañas de secuestro de cuentas de WhastApp se han intensificado en España. El gancho más repetido hasta ahora por los ciberdelincuentes era fingir ser un contacto cercano de la víctima, al que también habían robado la cuenta previamente. En ese caso, en vez de una llamada de falsos trabajadores de la Seguridad Social, lo que recibe la víctima es un mensaje desde el número de un conocido que dice que le ha enviado un código «por error». «¿Puedes pasármelo, por favor? Es urgente», se lee en el mensaje, preparado para intentar que la víctima no reflexione sobre lo que está ocurriendo y comparta el código.
En los últimos días los usuarios españoles de WhatsApp habían compartido una cadena de advertencia sobre esta campaña de hackeos que se basan en una citación falsa para la tercera dosis de la vacuna. No obstante, hasta la alerta emitida por el Incibe, el Ministerio de Sanidad y las fuerzas de seguridad habían negado que tuvieran constancia de que esta estafa estuviera activa en España.
Según el rastreo de la cadena que llevó a cabo Newtral, esta había saltado a los usuarios españoles desde América Latina, donde algunas instituciones sí han alertado de la campaña de suplantación de identidad por parte de ciberdelincuentes. Una de ellas es el Ministerio de Salud de Colombia, cuyo nombre coincide además con la referencia al «Ministerio de Salud» que se da en el mensaje de advertencia de la cadena de WhatsApp y que no existe como tal en España. El Ministerio de Salud de Chile también ha advertido de la situación.
Finalmente, grupos de ciberdelincuentes han decidido replicar en España la misma táctica que en américa Latina, ha detectado el Incibe. El Ministerio de Sanidad recuerda además que en España la convocatoria para recibir la tercera dosis de la vacuna del coronavirus se realiza desde las consejerías de salud de las comunidades autónomas y que sus trabajadores en ningún caso llaman a los ciudadanos por este motivo.
En el mensaje que envía WhatsApp con el código para activar la cuenta en un dispositivo nuevo se recuerda al usuario que «no debe compartirlo con nadie». No obstante, si se ha caído en una de estas trampas y se ha perdido el acceso a la cuenta, la aplicación dispone de un método para recuperarla que sigue el mismo proceso que los ciberdelincuentes utilizaron para secuestrarla: solicitar a la app un código de verificación desde el teléfono del propietario original.
El nuevo código llegará vía SMS y deberá introducirse en la aplicación. «El código es único y cambia cada vez que verificas un número de teléfono o un dispositivo nuevos», explica WhatsApp, quien da instrucciones específicas para teléfonos Android y para teléfonos iPhone. Este proceso puede durar varios días, pero la compañía recuerda que los ciberdelincuentes no tendrán acceso a las conversaciones antiguas, puesto que estas se almacenan en el dispositivo.
La recomendación de WhastApp a sus usuarios es activar el método de verificación en dos pasos, lo que añade una capa más de seguridad y permite agilizar la recuperación de la cuenta en caso de que sea robada. «Debes esperar siete días para poder verificar tu número sin el código de verificación en dos pasos. Independientemente de si sabes el código de verificación en dos pasos o no, la sesión de la persona con acceso a tu cuenta se cerrará en cuanto ingreses el código de seis dígitos enviado por mensaje SMS», detalla la aplicación.
Dado que los ciberdelincuentes suelen utilizar la cuenta secuestrada para robar otras, desde el Incibe recalcan que «es importante que si has sido víctima, de manera adicional, avises a tus contactos de lo ocurrido por otra vía (llamada telefónica, email, red social, SMS, etc.), para que así, sean conscientes de que no eres tú, ni el que les está escribiendo, ni solicitando su código de verificación».
source Nueva campaña de intentos de hackeo de WhatsApp con la tercera dosis de la vacuna como gancho
