Un simple despiste puede hacernos perder la cuenta de WhatsApp. Es lo que le ha pasado a el líder de Ciudadanos, Albert Rivera, quien ha sufrido un ataque en su teléfono mediante un mensaje-trampa que le ha hecho perder acceso a su cuenta de WhatsApp, según ha confirmado un portavoz del partido naranja a El Mundo.
¿Cómo es posible "hackear" el WhatsApp de un alto cargo político? La Unidad de Delitos Telemáticos (UCO) de la Guardia Civil será la encargada de examinar todos los detalles, pero el ataque ha sido a través del phishing, una técnica fraudulenta con la que engañar a la persona y acceder a su cuenta.
Como describe un portavoz oficial de Ciudadanos a El País, el político barcelonés involuntariamente proporcionó las claves de su WhatsApp. A través de un mensaje enviado por los atacantes, verificó su cuenta pensando que era la propia WhatsApp quien lo solicitaba.
Cómo funciona el phishing en WhatsApp
El ataque al WhatsApp de Rivera cumple todas las características del clásico ataque de phishing. El objetivo de esta técnica es sencillo: hacerse pasar por la empresa original para que el usuario facilite sus propias claves. ¿Cómo lo han logrado con Rivera? El político recibió en su cuenta un mensaje que alertaba de que "alguien había intentado acceder a su perfil de WhatsApp desde otro dispositivo".
En otras ocasiones, la Policía ha denunciado técnicas de phishing a través de SMS, acompañadas de un breve texto y un enlace que nos invita a pinchar. Un texto de phishing que también puede llegar directamente a través de WhatsApp, ya que la aplicación de mensajería está ligada al número de teléfono. En el caso de Albert Rivera, no está claro si el mensaje se recibió a través de correo electrónico, SMS o a través de la propia WhatsApp.
Ejemplo de SMS-trampa (que no debemos pulsar) para "verificar nuestra cuenta de WhatsApp".
Tal y como describe El Mundo, el proceso para engañar a Rivera habría sido el siguiente: en primer lugar los atacantes hicieron que WhatsApp le enviase un mensaje para comprobar que era él. Seguidamente, enviaron otro mensaje advirtiendo que había sido atacado, con datos de ubicación y hora del presunto ataque frustrado. En este mensaje-trampa es donde se solicitó que introdujera el código de seguridad que antes había recibido para verificar su identidad.
Albert Rivera habría hecho clic en el mensaje e introducido el código de verificación, facilitando a los atacantes tomar el control completo de su cuenta de WhatsApp. Un control que aprovecharon para cambiar la contraseña y bloquear el acceso a su cuenta. Dejando a Rivera sin acceso a ella, como explican desde El Mundo.
Con la cuenta en posesión de los atacantes y validada, estos tienen la capacidad de enviar mensajes en nombre de Albert Rivera, descubrir contactos y hacer capturas de los nuevos mensajes recibidos, que llegarán al móvil de los atacantes. No así hacer capturas de mensajes anteriores, pues los mensajes se almacenan en el dispositivo, de manera que si alguien accede a tu cuenta en otro dispositivo no podrá leer tus conversaciones pasadas, como especifica WhatsApp en su FAQ sobre cuentas robadas.
Primer paso para evitarlo: no hacer clic en esos mensajes
La ciberseguridad es un tema clave en estos días donde hay tanta información susceptible dentro de nuestros móviles y sus aplicaciones. Una de las reglas básicas para protegerlo es nunca compartir códigos ni contraseñas a través de mensajes que recibamos. Hay ataques de phishing más elaborados que otros, pero una de las pautas que hay que seguir es no hacer caso a ninguno de estos mensajes, pues empresas como WhatsApp nunca utilizan esta vía para confirmar nuestra identidad.
Como explica la propia WhatsApp desde su página oficial:
"Nunca compartas tu código de verificación de WhatsApp con nadie, ni siquiera con familiares o amigos. Si por algún motivo compartiste tu código y pierdes acceso a tu cuenta de WhatsApp. Si sospechas que otra persona está usando tu cuenta de WhatsApp, debes notificar a tus familiares y amigos que dicha persona podría hacerse pasar por ti en tus chats individuales y de grupo".
Adicionalmente, si sospechas que alguien ha accedido a tu cuenta también recomiendan cerrar la sesión en WhatsApp Web/Escritorio en todas la computadoras desde tu teléfono.
Verificación en dos pasos: un extra para evitar algunos de estos ataques
WhatsApp dispone de verificación en dos pasos, un extra de seguridad que podemos activar para dificultar el acceso a nuestra cuenta.
La cuenta de WhatsApp está asociada al número de teléfono vía SMS (por lo que el atacante debe conocer tu número), pero desde 2017 existe la función de verificación en dos pasos para añadir una capa de seguridad adicional. Se trata de un código PIN de seis dígitos que podremos añadir desde el menú de Ajustes.
Con la verificación en dos pasos nos aseguramos de que nadie pueda registrar el número de teléfono en otra cuenta, aunque lograra usar métodos para recibir el código de verificación. Para activarlo debemos ir a Ajustes > Cuenta > Verificación en dos pasos.
Adicionalmente podemos añadir una dirección de correo electrónico, que igualmente deberemos escribir dos veces para confirmarla. Una cuenta que nos será útil en caso de olvidar el código PIN.
Con el uso de la verificación en dos pasos lo que hacemos es añadir complejidad y más información necesaria para acceder a la cuenta de WhatsApp. Es una herramienta algo intrusiva y molesta, pero es una práctica recomendada, sobre todo en casos como el de Albert Rivera cuya cuenta de WhatsApp es susceptible de ser atacada por ser un personaje público.
Las llaves USB de seguridad son la mejor opción
Sin embargo, la verificación en dos pasos también se ha mostrado vulnerable a los ataques. Una contraseña de seis dígitos puede ser fácilmente descifrada, sobre todo si la secuencia se repite o se utilizan datos personales para crearla. Es por esto, que los expertos recomiendan el uso de tokens físicos para evitar el phishing.
Un estudio de Amnistía Internacional observó que la verificación en dos pasos no era suficiente, pues con páginas web falsas pueden engañar al usuario para que introduzca tanto su contraseña, como para ingresar también el código SMS y el teléfono. Para impedirlo, existen llaves o tokens de seguridad USB como Yubikey o las de la propia Google, un sistema bastante más eficaz contra los ataques de phishing y que habría impedido que Albert Rivera perdiera el control de su cuenta de WhatsApp.
Imagen | Carlos Delgado
Ver 45 comentarios
45 comentarios
ikibruch
Demasiada farlopa...
dak51
Eso es lo que pasa cuando se va enfarlopado todo el día.
togepix
Llevo dos años preparándome para una humilde oposicion de subalterno. Y los que me quedan.
Gentuza como esta no sabe ni manejar su movil y quiere presidir españa, dar lecciones a los demás políticos y se pone de ejemplo en la política.
El problema de españa son los políticos, no nosotros. Queda claro.
ivity
No sabía que WhatsApp tuviese contraseña. Debo de estar viviendo al límite porque no tengo ninguna.
Hasta donde yo sé se tiene que poner el código que envían por SMS a tu teléfono. Si por alguna casualidad te roban el código, pides otro y anulas el anterior. Ahora no sé si se necesita de otro código para cambiar el número de teléfono de WhatsApp, si no hace falta ahí sí que lo has perdido.
tecnoman
El que quiere ser presidente del gobierno.
JAJAJAJAJAJAJAJA
Usuario desactivado
Me encanta esta frase: "¿Cómo es posible "hackear" el WhatsApp de un algo cargo político? ", aparte de por estar mal escrita (pequeña errata), creo que es igual de sencillo que hackear el de cualquier ciudadano.
TOVI
Para hacer click en estos enlaces o se es muy iluso, o se está bebido o drogado.
Ahí lo dejo
Dani3po
Hay que ser idiota para caer en estas trampas tan obvias.
manolomalocalvo1
Menudo gilipollas
Usuario desactivado
Bah, quién iba a notar que no era él? Si cada día parece una persona diferente y dice una tontada nueva!
Usuario desactivado
Para evitar ser estafado lo mejor sería ingresar al sitio web original directamente y verificar desde ahí, no desde un link de correo o alguna X mensajería.
velocidad
Ya solo queda el artículo cuñado a vox y cerramos toda la derecha.
Se os ve el plumero weblogs.
ciudadwifi
Otro artículo más para convencer a la gente de que le de todas sus cuentas a Google a través de Google Authenticator. En este caso ni siquiera se han cortado y han inventado la mayoría.
Lo simpático es que la mayoría que prueba Google Authenticator acaban escaldados por perder acceso a cuentas y demás. Y alguno dirá que se pueden hacer copias de seguridad, etc claro que quien usa esa mierda, pues no sabe ni guardar las claves, sino para que mierda usaría Google Authenticator. Eso sí, es de las pocas aplicaciones de Play que está lleno de quejas y votaciones con pocas estrellas, pero milagrosamente parece que la inmensa mayoría le vota 5 estrellas. Pero solo hay que ver las quejas de la gente:
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=es&showAllReviews=true
Pero intentan venderla como la septima maravilla. Lo simpático es que ya hay ataques a ella y ahí después si que no hay solución, al menos fácil y rápida.
lolo_aguirre
No entiendo algo del artículo. WhatsApp está ligado al número de teléfono. Es decir, aunque yo le dé el código de verificación que he recibido a alguien, al no tener una SIM con ese número de teléfono no debe funcionar.
ikrsikario
Y este hombre quiere gobernar España y no es capaz de tener SU propio numero de whatsapp seguro... ¡Increíble!.
Y Dicen que va a llamar a UGO (Unidad de Delitos Telemáticos) para que le diga que es un imbécil profundo, eres un alto cargo político y como tal un objetivo señalado para todo este tipo de cosas.