Albert Rivera se quedó sin poder acceder a su cuenta de WhatsApp el pasado viernes. Según denunció ante la Guardia Civil, el líder de Ciudadanos perdió el control de su perfil por culpa de un mensaje-trampa.
Aunque no se conocen los detalles exactos, en estos mensajes-trampa, otro caso de phishing, alguien se hace pasar por la propia aplicación para hacerse con las claves. Según explica a Verne Lorenzo Martínez Rodríguez, director de la empresa de ciberseguridad Securízame, el proceso suele ir de la siguiente forma:
1. El atacante sabe nuestro número.
2. El atacante se instala WhatsApp y da nuestro número al abrir la cuenta. Martínez explica que nuestro perfil puede estar en un teléfono asociado a un número diferente.
3. La aplicación envía un código de recuperación por sms al teléfono original (el nuestro).
4. Al mismo tiempo, el atacante nos envía un mensaje haciéndose pasar por WhatsApp y nos pide ese código con la excusa de solventar algún error de seguridad.
5. Nosotros se lo damos y el atacante puede acceder a nuestra cuenta desde otro teléfono. Al acceder a nuestro perfil de WhatsApp, el atacante tiene acceso a conversaciones, contactos y grupos, y puede usar esa información como crea conveniente. Además, a partir de ese momento no podremos acceder a nuestra cuenta, como explica Pedro Viñuales, director de preventa de Panda Security.
Cómo prevenir el phishing
WhatsApp da algunos consejos en su web para prevenir estos ataques, como desconfiar de todos los mensajes que digan ser de WhatsApp o que aseguren que, de no hacer caso a sus instrucciones, se suspenderá o eliminará la cuenta. En estos casos, la empresa recomienda borrar el mensaje y bloquear a quien nos lo haya enviado.
Si hemos sido víctimas de un ataque de este tipo, podemos recuperar la cuenta reinstalando la aplicación en el móvil. Cuando lo hagamos, WhatsApp nos proporcionará un nuevo código de verificación por sms. El atacante no tendrá este código y no podrá seguir conectado. Viñuales, de Panda, recomienda otros niveles de seguridad adicionales, sobre todo en el caso de personas con responsabilidad pública: "Deben tener conciencia de que la seguridad que necesitan no es la habitual". Por ejemplo, en el caso de Rivera, lo lógico sería no solo recuperar la cuenta, sino cambiar incluso de número de teléfono, incluso aunque los atacantes no hayan podido acceder al historial de conversaciones (recordemos que no sabemos exactamente lo que ha pasado en este caso concreto).
El phishing es una de las prácticas de ciberdelincuencia más habituales. Suele estar asociado a páginas web y mensajes de correo electrónico que simulan ser de una entidad bancaria, imitando también su apariencia, aunque con direcciones diferentes de las reales: por ejemplo, “www.spotify-us.com” en lugar de "www.spotify.com". En estos casos, el objetivo es que demos por error nuestras claves y contraseñas. Recientemente ocurrió con un mensaje falso de la Agencia Tributaria: con la excusa, también falsa, de devolvernos dinero, nos pedía datos de tarjetas de crédito y cuentas bancarias.
Los intentos de phising cada vez están más presentes en los móviles. Por ejemplo, el año pasado la Policía advirtió de un timo en el que se ofrecían cuentas premium de Spotify a través de WhatsApp. El enlace en realidad llevaba a una web que instalaba en el teléfono una aplicación de malware, que hacía que quedara vulnerable a ataques.
(Fe de erratas: en una primera versión, el artículo decía que se puede tener una misma cuenta de WhatsApp asociada a dos teléfonos diferentes, cuando no es así).