Es posible secuestrar una cuenta con solo saber el número de teléfono asociado

Después de que comprometieran el teléfono de Jeff Bezos mediante un video malicioso enviado a través de WhatsApp, probablemente muchos de ustedes se hayan puesto a pensar en la seguridad de esta aplicación y en la de su propio teléfono, y se pregunten también si puede ser comprometido con facilidad. Hay muchas herramientas, consejos y trucos para proteger de los ciberdelincuentes a los dos mil millones de usuarios de WhatsApp, pero la verdad es que, si un actor malintencionado está lo suficientemente dedicado, hay poco que podamos hacer más que protegernos de la mejor manera posible y esperar que los atacantes se muevan hacia blancos más desprotegidos.

Pero cuando se trata de WhatsApp, ¿hay algo más que podamos hacer para proteger nuestra cuenta? Los mensajes ya están cifrados, lo que significa que las personas encargadas de hacer cumplir la ley no pueden investigar esas conversaciones privadas directamente, pero ¿hay otra forma de acceder a las cuentas? La clave de cifrado de un mensaje de WhatsApp está presente en ambos dispositivos que se usan en la conversación, por lo que un atacante tendría que tener en sus manos uno de los dos dispositivos para acceder a los registros de las conversaciones.

Aquí es donde la mayoría de los lectores pueden presumir que acceden a sus dispositivos utilizando un PIN complejo o una contraseña biométrica. Sin embargo, ¿qué pasaría se pudiera tomar el control de la cuenta de alguien con solo conocer su número de teléfono? Esto es muy posible y aterradoramente fácil de llevar a cabo, pero hay formas en las que usted como usuario puede reducir el riesgo y evitar que esto suceda con su cuenta. Describiré cómo al final de esta publicación.

Entonces, ¿cuál es el problema?

Cuando compra un nuevo teléfono e instala todas sus aplicaciones y configuraciones existentes, lo que hace es restaurar una copia de seguridad realizada en el otro equipo, y para ello WhatsApp requiere que se envíe un código a un número de teléfono. Ese código (generalmente enviado al dispositivo en el que está instalando la aplicación) validará el teléfono y recuperará sus grupos y contactos. Si también tiene una copia de seguridad de los mensajes, aparecerán hasta la última vez que se realizó una copia de seguridad del dispositivo. Si no, los nombres de las personas y grupos en los que está participando se mostrarán sin los mensajes.

Aquí es donde noté una falla potencial. ¿Podría configurar la cuenta de WhatsApp de otra persona en un nuevo dispositivo simplemente tomando el código enviado al teléfono de la otra persona?

Decidí probar mi hipótesis con uno de mis colegas la semana pasada (que generalmente está en el extremo receptor de mis travesuras de ingeniería social, pero sigue estando feliz de participar). Nota: ¡No pruebe esto en el dispositivo de nadie que previamente no le haya otorgado permiso de manera explícita!

Recientemente, le mencioné en una de nuestras conversaciones que, en caso de que no lo hiciera, es recomendable realizar una copia de seguridad de los grupos y mensajes de WhatsApp, ya que, ante un incidente, probablemente no quisiera perderlos para siempre. Unos días después, usé un teléfono de respaldo que tengo y descargué la aplicación. Enseguida solicitó mi número de teléfono para verificar el dispositivo en el que se iba a instalar.

No pasó mucho tiempo antes de que mi colega abandonara su escritorio para hacer un café, dejando su teléfono a la vista en su escritorio, así que ingresé su número de teléfono en mi nueva cuenta de WhatsApp. Su teléfono instantáneamente recibió un mensaje (en silencio) y pasé junto a su escritorio y memoricé el código. Lo escribí en el campo de verificación en mi teléfono de respaldo y lo logré: tenía el control de su cuenta.

Pude ver todos los grupos en la aplicación, pero no los mensajes. Para llevar mi prueba al siguiente nivel, encontré un grupo llamado “The Hunz”, al que envié el mensaje “¡Hey! Tengo un mal día… ¡alguien que envíe memes! Acto seguido: recibí un montón de respuestas graciosas de sus amigos desprevenidos.

Cuando mi colega regresó a su escritorio con su café, no se dio cuenta del hecho. Pasaron unos minutos hasta que miró su teléfono y dijo en voz alta “Eso es extraño, he recibido un código de WhatsApp por alguna razón”. Noté su mirada pensativa, pero luego supe que todo lo que hizo fue eliminarlo.

Inmediatamente me acerqué y le conté lo que acababa de pasar. No podía creer lo fácil que había sido tomar posesión de su cuenta y sintió la falta de seguridad. Mencionó algo muy cierto, que muchas personas descuidan sus teléfonos y no piensan en el riesgo, incluso en lugares públicos, como restaurantes y bares. Enseguida restauramos la cuenta en su teléfono y luego le ofrecí consejos sobre cómo detener ese ataque.

¿Cómo prevenir este ataque de secuestro de cuenta de WhataApp?

En primer lugar, debe desactivar la vista previa de sus mensajes SMS. Esto puede sonar obvio, pero muchas personas prefieren tener activa esta opción para mirar los mensajes más rápidamente. Cuando las personas usan la verificación en dos pasos (también conocido como doble factor de autenticación) sin una aplicación de autenticación, tienden a recibir códigos enviados por SMS, pero si se pueden ver en una pantalla bloqueada, no tienen sentido para un usuario que no está atento a su teléfono.

Por lo tanto, en segundo lugar, nunca debe perder de vista su teléfono o dispositivo. He visto a innumerables personas en el tren quedarse dormidas con sus teléfonos a la vista o incluso ir al baño en restaurantes mientras dejan sus teléfonos rodeados de extraños. Además, hay muchas manzanas podridas en las empresas, por lo que incluso si confía en sus colegas, siempre existe la posibilidad de que otra persona intente probar este vector de ataque.

Finalmente, hay incluso una mejor forma de proteger su cuenta que debería configurar en este momento. Activar la verificación de dos pasos en WhatsApp, ya que es simple de configurar y evitará que este ataque tenga éxito. A continuación, se muestra el proceso de cómo hacerlo, ¡así que abra la aplicación y configúrela!

Cómo configurar la verificación en dos pasos en WhatsApp

Con la aplicación abierta, dirígete a Ajustes/Cuenta/Verificación en dos pasos y haz clic en Activar. Luego, ingrese un código de seis dígitos que siempre recordará.

 

Luego, ingrese su dirección de correo electrónico como capa de seguridad adicional. Finalmente, verá la confirmación de la verificación en dos pasos configurada en su teléfono, lo que significa que será mucho más difícil para alguien poder secuestrar su cuenta o transferir sus mensajes a otro dispositivo.

 

A partir de ahora y para ayudarlo a recordar su número, cuando abra WhatsApp la aplicación le pedirá cada tanto y de manera aleatoria que ingrese su PIN. No será cada vez que abra la aplicación, por lo que no debería ser un inconveniente. Sin embargo, lo preparará mejor para disfrutar de una tecnología más segura.

 

 

Referencias: ESET

Autor: Jake Moore

 

 

Chatea con nosotros