El grupo de ciberseguridad Check Point alerta de un nuevo tipo de ciberataque que roba a sus víctimas la cuenta de WhatsApp aprovechándose de la confianza que tiene en sus contactos.

Cuando un usuario cambia de teléfono y quiere transferir su cuenta de WhatsApp, la compañía tecnológica envía una autenticación por SMS al número de teléfono antiguo para que pueda introducirlo en el nuevo.

Este proceso permite cambiar la aplicación de WhatsApp de un número a otro. Sin embargo, es también la puerta de acceso del cibercriminal a la cuenta de la víctima. «Lo primero que hay que saber de este ciberataque es que el principal activo para el ciberdelincuente es aprovecharse de la confianza de la víctima», indica el director técnico de Check Point para España y Portugal, Eusebio Nieva. «La manera para llevar a cabo este ataque se basa en que, con anterioridad, este cibercriminal ha conseguido atacar a uno de los contactos de la víctima en cuestión y robarle todos los números de teléfono que tenía», añade.

De esta forma, consigue el número de la víctima, que utiliza para escribir a WhatsApp y solicitar el código SMS para la autenticación. Luego, haciéndose pasar por un contacto conocido, escribe a la víctima solicitando ese código, alegando que se han equivocado al mandárselo.

«Lo imprescindible para este ciberataque es que la víctima confíe en el número que le está hablando, porque al conocerle se fía. Simple, pero efectivo», subraya Eusebio Nieva.

El robo de una cuenta de WhatsApp abre la puerta a otros ataques, por ejemplo, contra los contactos que tenga en la agenda. Así, puede enviar un SMS con un enlace que redirija a un sitio con ‘malware’ o mandar un mensaje vía WhatsApp del tipo «mira qué interesante, descárgatelo», también con un enlace malicioso.

También puede dar pie a la infección del dispositivo móvil para tener acceso a diferentes aplicaciones y a los movimientos de la víctima o para introducir en el dispositivo un troyano para robar los datos bancarios y obtener con ello un beneficio económico.

Recuperar la cuenta no es sencillo. «La única manera sería hablando con WhatsApp para informarles del robo de la cuenta y que ellos anulen automáticamente esa cuenta con ese número de teléfono», explica Nieva. Además, hay que informar de lo ocurrido a la Guardia Civil o a la Policía Nacional para que hagan un seguimiento del teléfono y «comprueben todas las posibles comunicaciones que ha tenido con otros usuarios y minimizar las víctimas».

Para protegerse contra este tipo de ataque, «lo más importante es que cuando a una persona le llegue un SMS lo lea atentamente», asegura Nieva. «Es primordial tener en cuenta que se debe tener mucho cuidado con los códigos que se envían y saber que nunca hay que mandar un código que tú recibas a nadie, te digan lo que te digan o sea quien sea el que te lo esté solicitando», concluye este experto.

Cuidado con las aplicaciones móviles

El mercado de aplicaciones móviles para la compraventa de productos (ropa, vehículos, etc.), como Wallapop o Vinted, cuenta ya con millones de usuarios en España. Este hecho las convierte en uno de los principales objetivos de los cibercriminales, ya que puede reportar tanto una gran cantidad de datos como beneficios económicos.

“Cada vez son más las personas que se animan a comprar o vender productos de distinta índole a través de aplicaciones móviles. Para ello, es necesario descargar la aplicación y al dar de alta el perfil, introducir una serie de datos personales (nombre, teléfono, cuenta bancaria, etc.) e incluso permitir que la aplicación tenga acceso a información del dispositivo, como puede ser localización a través del GPS o fotografías almacenadasen el smartphone”, advierte Eusebio Nieva. “Por este motivo, es fundamental que los usuarios extremen las precauciones, puesto que los cibercriminales lanzan cada vez más ataques para aprovechar cualquier fallo de seguridad o vulnerabilidad para robar todo tipo de datos personales a las potenciales víctimas”, añade el director técnico de Check Point para España y Portugal.

El Instituto Nacional de Ciberseguridad (Incibe) alertaba de un fraude en Wallapop por medio del cual un cibercriminal iniciaba una conversación con otro usuario para luego redirigir la comunicación hacia el correo electrónico, con lo que trata de engañar al vendedor para recibir dinero a través de tarjetas prepago, u obtener sus credenciales bancarias mediante un phishing realizado a DHL.

Este tipo de aplicaciones ofrece un cóctel muy jugoso para los cibercriminales, como es la mezcla de datos personales y la posibilidad de obtener beneficios económicos. En primer lugar, al tratarse de un servicio de compraventa de productos, evidentemente uno de los riesgos más destacados son las potenciales pérdidas económicas que las víctimas puedan sufrir como consecuencia de que un cibercriminal tome el control de su cuenta y realice compras en su nombre. Para ello, los cibercriminales pueden intentar hackear la cuenta de un usuario para tener acceso a la cuenta de PayPal o datos bancarios de la víctima.

Sin embargo, y utilizando como gancho la propuesta de realizar las transacciones fuera de la aplicación para evitar pagar comisiones, es común ver cómo muchas de las conversaciones se trasladen al correo electrónico. El objetivo de los cibercriminales es muy claro: poder obtener una gran cantidad de datos personales sensibles como nombre completo, número de cuenta bancaria, dirección postal, etc. “Conseguir que la compraventa del producto se produzca fuera de la aplicación es un paso clave para que el cibercriminal pueda obtener su tesoro, puesto que de esta forma son capaces de burlar las medidas de seguridad con las que cuentan estas aplicaciones, centradas fundamentalmente en la detección de actividades maliciosas y operaciones fraudulentas”, detalla Eusebio Nieva.

Una vez se establece la conexión vía email, el cibercriminal pone en marcha su estrategia, que consiste básicamente en un ataque de phishing suplantando la identidad de algún servicio de mensajería. Para ello, el cibercriminal pide a la víctima los datos personales y su dirección haciéndole creer que un mensajero irá a recoger el producto (una práctica que ha ganado impulso debido a la crisis del coronavirus), además de informarle de que realizará una transferencia como método de pago. Tras esto, el atacante comparte un enlace que parece ser inofensivo, pero que en realidad lleva a un sitio web malicioso que suplanta la identidad de servicios de mensajería o pasarelas de pago, donde el usuario debe introducir sus datos (tanto personales como bancarios) para que se efectúe la transacción. Una vez obtiene toda esta información, el cibercriminal tiene a su disposición las credenciales de la víctima para poder obtener rédito económico realizando compras en su nombre o incluso vendiéndolos en el mercado negro.

Desde Check Point recuerdan que el phishing (suplantación de identidad) es una de las amenazas con mayor tasa de éxito, por lo que animan a todos los usuarios a extremar las precauciones cuando reciban algún tipo de comunicación de un emisor desconocido, incluso aunque hayan estado conversando a través de la aplicación de compraventa.