ESET Latinoamérica advirtió sobre una estafa donde mediante un mensaje vía SMS o WhatsApp se solicita el reenvío de un código de seis dígitos, que supuestamente llega a la potencial víctima por error, y cuyo objetivo es robar cuentas de la aplicación de mensajería.
Hace unos días la Guardia Civil española alertó a través de su cuenta de Twitter sobre un método que están empleando los cibercriminales para acceder e incluso robar el acceso a cuentas personales de distintos servicios, particularmente WhatsApp.
Desde el laboratorio de ESET Latinoamérica, compañía de ciberseguridad, se analizó esta nueva amenaza para evitar que los usuarios caigan en este engaño, en lo que se trata de una campaña de suplantación de identidad que llega a través de WhatsApp y que busca el secuestro de cuentas.
A grandes rasgos, todo comienza con un mensaje a través de la aplicación de mensajería o de un SMS a través del cual un contacto (víctima del engaño también) menciona que, por error, un código de verificación de seis dígitos (que supuestamente no iba dirigido a ella) se envió a su teléfono y solicita que le reenvíen el mensaje con el código.
Mensaje de WhatsApp que la Guardia Civil publicó a modo de ejemplo.
Como es muy probable que la nueva víctima no haya solicitado recuperar ningún tipo de código podría creer que el mensaje es genuino y que realmente fue enviado por un contacto que sí necesita acceder a su cuenta.
No obstante, la empresa afirmó que lo que realmente se está haciendo con ello es entregar el código de verificación para registrar la cuenta de WhatsApp en otro dispositivo.
De esta manera, cuando se reenvía el mensaje con el código de verificación de seis dígitos, el ciberdelincuente detrás del engaño registrará WhatsApp en otro teléfono, mientras la víctima solamente verá en su pantalla un mensaje que indicará que perdió el acceso a su cuenta.
“La educación es un punto clave para evitar caer en engaños, ya que la concientización permite que al conocer los riesgos se tomen las medidas necesarias para evitar ser víctimas de engaños”, comenta Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica.
Mensaje que llega a la víctima una vez que los estafadores registran asocian su número de teléfono a una cuenta de WhatsApp en otro teléfono.
“Irónicamente, el recurso de doble activación que lleva adelante el cibercriminal, es (si ya está implementada) el mejor aliado que tienen los usuarios para evitar caer en este tipo de engaño que buscan tomar el control del servicio de mensajería más utilizado actualmente”, explica el profesional.
Para activar esta medida de protección, primero se debe acceder a la sección ajustes en la parte superior derecha de la pantalla del dispositivo.
Activación de la “verificación en dos pasos” - Primero se accede a la sección ajustes en la parte superior derecha de la pantalla del teléfono.
Luego a la sección “Cuenta”.
Una vez dentro de “Cuenta” se selecciona la opción “Verificación en dos pasos”.
Allí, el usuario debe elegir una contraseña de seis dígitos, la cual será solicitada la próxima vez que quiera registrar WhatsApp en cualquier dispositivo.
Es posible que, por seguridad, cada cierto tiempo la aplicación solicite el ingreso de la contraseña para evitar lecturas no autorizadas de los mensajes.
Configuración del código Pin de la verificación en dos pasos.
Activando lo anterior, “la cuenta queda protegida al estar asociada no sólo al número telefónico que hizo la instalación, sino a una clave numérica y a una dirección de correo electrónico”, afirmó Lubeck.
“El doble factor de autenticación sigue siendo el método más seguro para evitar accesos no autorizados a las cuentas. Este tipo de capa de seguridad se encuentran actualmente en la mayoría de las redes sociales, como en sistemas de correo electrónico más utilizados”, concluyó el experto de ESET.
