PETABYTE
¡Peligra WhatsApp!
«Están hackeando las cuentas». No es la primera persona a la que le robaron sus datos y de la que recibimos un mensaje raro. ¿A ti también te pasó? ¿Se puede evitar? ¿Hay un modo de recuperar lo perdido?
Por Mercedes Muñoz y Max Barbosa Miranda
«Oye, compadre, estoy reconfigurando mi teléfono y me pide el contacto de un número de respaldo. Te va a llegar un código por SMS, y necesito que me pases captura». Este mensaje, aparentemente inofensivo le llegó ayer por el chat de un amigo a Armando, el director de Alma Mater. En medio del trabajo, atendiendo a varias conversaciones, hizo lo que le pidieron casi de modo automático.
Así le hackearon la cuenta de WhatsApp, mientras se escribía esta columna. La coincidencia hubiese sido intrascendente si desde hace algunas semanas no hubiéramos decidido que había que hablar sobre los robos de cuentas en esta red, porque otras personas cercanas habían sido víctimas de estafas, de uno u otro modo. El tema parece ser tendencia en Cuba: alguien está «pescando cuentas» para luego hacerse pasar por otros usuarios y sacar beneficios mal habidos.
El golpe digital
De seguro, en los últimos días te han llegado mensajes en cadena con jugosos tratos para recargas y regalos, acompañados de un enlace. Tal vez, un contacto te escribió pidiéndote un código. O quizás no caíste porque ya habías visto alertas en los estados para impedir que más personas pasen por esta suplantación de la identidad digital. Pero, ¿cómo funciona la trampa y por qué se difunde tan rápido?
Lo que ocurre es que un ciberdelincuente se hace pasar por un contacto nuestro al que ya ha robado su cuenta. Al hacerlo tiene acceso a su lista de teléfonos y se dispone a repetir la operación iniciando WhatsApp con esos números para pedirles dinero o datos personales. Entonces es cuando se ve obligado a escribirte — si eres el nuevo objetivo del hackeo — para que le compartas el código de verificación que usualmente envía el sistema de esta aplicación móvil a tu línea telefónica para autenticar tu usuario.
Justo en ese instante, deberían encenderse tus alarmas: si recibes este código sin haberlo solicitado significa que alguien ingresó tu número y solicitó el código de registro en un dispositivo que no es el tuyo. El problema es que, como el estafador se hace pasar por un conocido, cualquiera puede compartir el código sin dudar o percatarse de que se trata de una estafa. Ojo, ni este ni ningún otro código personal, contraseña o PIN de tus aplicaciones debe ser compartido. Los software pueden pedir que los ingreses en sus propias interfaces, pero jamás te pedirán que los envíes a terceros. Por eso, ¡nunca deberías compartirlos!
De hecho, el nivel académico o haber adquirido ciertas competencias con las tecnologías no determinan en qué nivel podemos creer, desde lo emocional o lo práctico, en mensajes malintencionados.
Lo primero, al perder la cuenta, es reportarlo al servicio técnico de WhatsApp. Así, nuestra cuenta puede estar a salvo con la menor pérdida de datos posible. Sin embargo, lo peor de caer en una de estas estafas es que ponemos en riesgo a nuestros contactos. Una vez reenvías el código o entras al enlace, se puede abrir tu cuenta en otro dispositivo y acceder a tus chats personales y grupos.
Tus contactos recibirán el mismo mensaje y podrían perder sus cuentas también. Cuando quieras entrar a WhatsApp aparecerá un mensaje que avisa: «Tu número ya no está registrado en este teléfono. Esto probablemente se debe a que registraste tu número de WhatsApp en un teléfono diferente» y por tanto no podrás conectarte a esta plataforma de mensajería móvil. Pero, este no es el único modus operandi.
¿Ganancia de pescadores?
En términos sencillos, el phishing —así se denominan estas estafas — se entiende por su etimología, pues viene de la palabra inglesa fishing (pescar) y la escritura con “ph” está ligada a la forma comúnmente utilizada por los hackers para sustituir la “f” en la antigua forma de hackeo telefónico conocida como phreaking.
El fenómeno no es nuevo e inicialmente se llevaba a cabo mediante correo electrónico. Incluso, compañías expertas en ciberseguridad como Panda Security denunciaron que, en ocasiones, el hacker no se hace pasar por un contacto personal sino directamente por el equipo de soporte técnico de la empresa proveedora de servicios. ¿Te suena? Pero, aun con las advertencias, esta artimaña se volvió, desde hace un tiempo, en el tipo de amenaza virtual más utilizada y con más víctimas alcanzadas.
Con esta modalidad de estafa, el atacante con el contacto de un conocido puede también enviar mensajes del tipo «mira que interesante, descárgatelo» o «tal marca de celulares está haciendo regalos», que incluyen enlaces maliciosos. De esta forma, puede ganar acceso a otras aplicaciones de tu móvil para introducir virus o robar datos personales. En algunos casos hasta se puede perder dinero como le pasó a Elena Godínez, estudiante de la Universidad de La Habana. El mensaje que le llegó promocionaba una recarga de 8GB por solo 250 pesos, venía acompañado de un número para llamar (también hackeado) y un enlace fraudulento.
Incluso la Empresa de Telecomunicaciones de Cuba (ETECSA) ha tenido que alertar sobre estas estafas. A pesar de que se sabe que, en el contexto cubano, dicha empresa es el único proveedor de internet certificado, y de que sus promociones llegan a través de SMS de Cubacel y de su sitio oficial, los usuarios de la red siguen cayendo en timos electrónicos por esta vía
La estrategia de los ciberdelincuentes es hacer creer al usuario en señuelos para que accedan a enlaces a través de los que hackean sus cuentas. Pueden ser chantajes relacionados con actualizaciones de la aplicación o cambios en las tarifas de uso, ofertas con paquetes de datos móviles o bonos gratis, supuestas promociones de empleo en empresas nacionales e internacionales, regalos de marcas conocidas, medicinas y cuentas gratuitas de Netflix.
Por si fuera poco, te piden involucrar a más personas, para «pescar con una red» en lugar de una caña. Antes de robarte la cuenta para suplantar tu identidad, algunos de estos mensajes piden ser reenviados a más contactos y si lo compartes en grupos, mejor, según se promocionan. Solicitan que no rompas la cadena y que «ayudes» a otros, pero la supuesta ayuda solo será para el hacker. Nuestro consejo es borrar inmediatamente el mensaje y alertar a tus contactos con estados, aunque hay quien decide «trolear» al estafador, como simula la cuenta de Twitter, Historia en Meme.
También, al detectar que algún conocido ha sido engañado, es importante no enviarle, aunque lo pida, datos personales o fotos. Estos pudieran ser empleados para futuros chantajes o como supuestas pruebas de que quien se hace pasar por el propietario de la cuenta es quien dice ser y no un timador.
En su lugar deberías avisar a tu contacto de lo que está pasando con su cuenta, a través de otra vía, preferiblemente el teléfono, para que puedas asegurarte de que es su voz.
Recuperar la cuenta y defenderse
Volver a tener tu cuenta robada no es tan sencillo. Requiere de escribir al servicio de soporte técnico de WhatsApp para recibir información sobre el robo de la cuenta y que ellos la bloqueen automáticamente. Si cuando vuelvas a intentar acceder no te lo permite, tendrás que esperar 7 días hasta recuperar la cuenta y solicitará un Número de Indentificación Personal (PIN, por sus siglas en Inglés) como verificación en dos pasos. La buena noticia es que durante ese tiempo, nadie podrá entrar y hacerse pasar por ti en tus chats privados.
Pero, si no habías pensado en activar esta función, ahora — antes o después de que te roben la cuenta — es una buena opción. La verificación en dos pasos añade seguridad a tu cuenta de WhatsApp.
Después de registrar en la aplicación correctamente tu número de teléfono, puedes configurarla para ayudar a proteger tu cuenta mediante una contraseña personal que podrás recuperar por correo electrónico en caso de que la olvides, aunque WhatsApp la pedirá habitualmente.
Este ajuste de seguridad también puede ayudar a que no puedan acceder a tu cuenta, pues será una código personal que solo conocerás tú. Pero según declara el especialista en ciberseguridad, Zak Doffman, en un artículo para Forbes, la mayoría de las personas no ha efectuado dicho cambio y son vulnerables. Para hacerlo, ve a los Ajustes de WhatsApp/Cuenta/Verificación en dos pasos, presiona «Activar», ingresa y confirma el PIN.
Y aunque logres recuperar tu cuenta y protegerla, dependerá de cada cual cuidar sus datos porque, una vez te hackean, es casi imposible rastrear o tomar medidas con quien lo hizo. En Cuba, ETECSA no ofrece un servicio en ese sentido, tampoco la legislación vigente es abundante sobre el tema. Ni siquiera WhatsApp cuenta con la suficiente información para identificar a la persona que está intentando abrir tu cuenta en otro dispositivo. Además, resulta complicado rastrear el inicio de la cadena de robos entre tus contactos.
Nosotros — desde la mala experiencia — te recomendamos que no te dejes llevar por la primera impresión atractiva, tentadora o confiable de los mensajes que recibas. No respondas ni entres a enlaces antes de verificar la URL, su procedencia o su familiaridad con otros enlaces del sitio que prometen abrir. Fíjate si inician con un protocolo seguro (https://). Tómate un minuto y piensa.
En cualquier caso, reflexiona en si es verosímil el mensaje. ¿Ese tipo de regalos llegan todos los días? ¿No existen sitios oficiales para dar la información? ¿Es posible que a mi contacto le hackearan la cuenta? ¿Armando escribiría con tantas faltas de ortografía e incoherencias?
Desconfía, una y otra vez, para que no te puedan pescar.
Lee también…
