Estafadores envían un men­saje vía SMS o What­sApp solic­i­tan­do que reen­víen un códi­go de seis dígi­tos que supues­ta­mente llegó a la poten­cial víc­ti­ma por error. El obje­ti­vo es tomar el con­trol de las cuen­tas de What­sApp.

El martes pasa­do la Guardia Civ­il españo­la alertó a través de su cuen­ta de Twit­ter sobre un modus operan­di que usan los ciber­crim­i­nales para acced­er e inclu­so robar el acce­so a cuen­tas per­son­ales de dis­tin­tos ser­vi­cios. Es por eso que des­de el lab­o­ra­to­rio de ESET Lati­noaméri­ca nos pare­ció opor­tuno replicar la aler­ta y explicar de qué se tra­ta para evi­tar que los usuar­ios caigan en este engaño.

Según un comu­ni­ca­do emi­ti­do hace aprox­i­mada­mente una sem­ana por la Guardia Civ­il, se tra­ta de una cam­paña de suplantación de iden­ti­dad que lle­ga a través de What­sApp y que bus­ca el secue­stro de cuen­tas. Todo comien­za con un lla­ma­ti­vo men­saje a través de la apli­cación de men­sajería o de un sim­ple SMS a través del cual un amigo/a (víc­ti­ma del engaño tam­bién) dice que, por error, un códi­go de ver­i­fi­cación de seis dígi­tos (que supues­ta­mente no iba dirigi­do a ella) se envió a su telé­fono y solici­ta que le reen­víen el men­saje con el códi­go.

Men­saje de What­sApp que la Guardia Civ­il pub­licó a modo de ejem­p­lo.

Dado que es un men­saje que está escrito en español, no sería extraño que comience a cir­cu­lar en Améri­ca Lati­na con un tex­to igual o sim­i­lar al que se obser­va en la ima­gen.

En este caso, como la víc­ti­ma segu­ra­mente no solic­itó recien­te­mente recu­per­ar ningún tipo de códi­go podría lle­gar a creer que el men­saje es gen­uino y fue envi­a­do por un con­tac­to que sí nece­si­ta recu­per­ar el acce­so a su cuen­ta.

Aquí rad­i­ca el prob­le­ma de seguri­dad al que se expone la víc­ti­ma, ya que los crim­i­nales detrás de este engaño lo que están hacien­do en real­i­dad es entre­gar el códi­go de ver­i­fi­cación para reg­is­trar su cuen­ta de What­sApp en otro dis­pos­i­ti­vo.

Acto segui­do, una vez que se reen­vía el men­saje con el códi­go de ver­i­fi­cación de seis dígi­tos: el ciberdelin­cuente detrás de este engaño reg­is­trará What­sApp en otro telé­fono con dicho códi­go (y el número tele­fóni­co que ya tiene porque aparece en el encabeza­do del men­saje recibido), mien­tras la víc­ti­ma solo verá en su pan­talla un men­saje a través del cual se infor­ma que perdió el acce­so a su cuen­ta (has­ta aquí momen­tánea­mente).

Men­saje que lle­ga a la víc­ti­ma una vez que los estafadores reg­is­tran aso­cian su número de telé­fono a una cuen­ta de What­sApp en otro telé­fono.

Lo que gen­eral­mente ocurre en estos casos es que el ciber­crim­i­nal ráp­i­da­mente acti­vará la ver­i­fi­cación en dos pasos den­tro de What­sApp, logran­do de esta man­era que el usuario orig­i­nal e esta cuen­ta no pue­da recu­per­ar­la.

Y es pre­cisa­mente la acti­vación de la ver­i­fi­cación en dos pasos el mejor ali­a­do que tienen los usuar­ios para evi­tar caer en este tipo de engaño que bus­can tomar el con­trol del ser­vi­cio de men­sajería más uti­liza­do actual­mente.

Cómo activar la verificación de dos pasos en WhatsApp

El pro­ced­imien­to para acti­var de la ver­i­fi­cación en dos pasos se real­iza de la sigu­iente man­era. Primero accedemos a la sec­ción ajustes en la parte supe­ri­or derecha de la pan­talla de nue­stro telé­fono.

Primero accedemos a la sec­ción ajustes en la parte supe­ri­or derecha de la pan­talla de nue­stro telé­fono.

 

Luego vamos a la sec­ción “Cuen­ta”

 

Una vez den­tro de “Cuen­ta” selec­cionamos la opción “Ver­i­fi­cación en dos pasos”.

En este momen­to el usuario deberá ele­gir una con­traseña de 6 dígi­tos, la cual será solic­i­ta­da la próx­i­ma vez que se quiera reg­is­trar What­sApp en cualquier dis­pos­i­ti­vo. Es posi­ble que, por seguri­dad, cada cier­to tiem­po la apli­cación solicite el ingre­so de la con­traseña para evi­tar lec­turas no autor­izadas de los men­sajes.

Con­fig­u­ración del códi­go Pin de la ver­i­fi­cación en dos pasos

Como se obser­va, de esta man­era entonces, la cuen­ta que­da pro­te­gi­da aso­ci­a­da no solo al número tele­fóni­co que hizo la insta­lación, sino a una clave numéri­ca y a una direc­ción de correo elec­tróni­co.

Con estas medi­das adi­cionales, si por algún moti­vo el usuario despre­venido entre­gara la clave de reg­istro de What­sApp, las otras capas de seguri­dad impedirían que un ter­cero lo reg­is­trase en otro celu­lar.

Tal como hemos men­ciona­do en artícu­los ante­ri­ores, el doble fac­tor de aut­en­ti­cación (en What­sApp denom­i­na­do ver­i­fi­cación en dos pasos) sigue sien­do el méto­do más seguro para evi­tar acce­sos no autor­iza­dos a las cuen­tas.

Este tipo de capa de seguri­dad se encuen­tran actual­mente en la may­oría de las redes sociales, como en sis­temas de correo elec­tróni­co más uti­liza­dos.

Para más infor­ma­ción recomen­damos las sigu­ientes lec­turas: