A fines de la semana pasada, el usuario de Twitter Zuk ( @ihackbanme ) tuiteó un problema sobre WhatsApp que tiene el potencial de llamar la atención. Explica que los atacantes pueden aprovechar dos cosas: la disponibilidad de un usuario y cómo funciona la verificación de identidad en WhatsApp, según la interesante nota publicada en el blog Malwarebytes.com. Un usuario que no está disponible para responder a las comprobaciones de verificación, ya sea que esté dormido, durante el vuelo o simplemente haya configurado su teléfono inteligente para “no molestar”, puede correr el riesgo de perder su cuenta de WhatsApp. Todo lo que necesita un atacante es el número de teléfono de su objetivo.
Así es como funciona. El atacante intenta iniciar sesión en una cuenta de WhatsApp. Como parte del proceso de verificación, WhatsApp envía un SMS con un PIN al número de teléfono vinculado a la cuenta. El usuario no está disponible, por lo que no se da cuenta de que hay un inicio de sesión sospechoso. Luego, el atacante le dice a WhatsApp que el SMS no llegó y solicita una verificación por teléfono.
Dado que el propietario de la cuenta aún no está disponible y no puede contestar la llamada, la llamada pasa al correo de voz del número. Al conocer el número de teléfono del objetivo, el atacante intenta acceder a su correo de voz ingresando los últimos cuatro dígitos del número de teléfono móvil del usuario, que suele ser el código PIN predeterminado para acceder al correo de voz del usuario.
El atacante entonces tiene el código de verificación de WhatsApp y puede usarlo para acceder a la cuenta de WhatsApp de la víctima. Luego pueden configurar su propia 2FA (autenticación de dos factores) en él, dejando al propietario real bloqueado de su propia cuenta. Una vez que la cuenta ha sido secuestrada, el atacante podría usarla para secuestrar las cuentas de los contactos del usuario, propagar malware o retener la cuenta como rehén hasta que el propietario pague para recuperarla.
Cómo proteger tu propia cuenta de WhatsApp
Esta no es una táctica nueva y ha existido por un tiempo, pero hay dos cosas bastante simples que puedes hacer para evitar que te suceda.
- Cambie el PIN predeterminado de su correo de voz.
- Habilite la verificación en dos pasos en su cuenta de WhatsApp:
Configuración abierta.
Presiona Cuenta > Verificación en dos pasos > Habilitar .
Introduzca un PIN de seis dígitos.
Ingresa una dirección de correo electrónico o toca Saltar si no quieres. WhatsApp dice que recomienda agregar una dirección de correo electrónico para que pueda restablecer la verificación de dos pasos si es necesario.
Presiona Siguiente.
Confirme los detalles y toque Guardar o Listo.
¡Mantenerse a salvo!
