A pesar de las mejoras de seguridad en la plataforma, el secuestro de cuentas de WhatsApp sigue siendo una tarea trivial para los actores de amenazas, quienes se aprovechan del modo de autenticación de la plataforma para tomar control de una cuanta afectada. Los hackers pueden recurrir a cualquier treta para engañar a los usuarios, incluso aprovechándose de la campaña de vacunación contra la COVID-19.
Funcionarios del Instituto Nacional de Ciberseguridad de España reportan que decenas de usuarios de WhatsApp han estado recibiendo un mensaje de actores de amenazas suplantando a representantes de Seguridad Social, solicitando un código de verificación para recibir una tercera dosis de la vacuna para COVID-19.
Los cibercriminales solicitan este código a los usuarios, que es el método empleado por la aplicación para comprobar la identidad del propietario legítimo de cada cuenta. Basta con que los actores de amenazas ingresen el código en un dispositivo bajo su control para completar el secuestro de la cuenta.
Además del secuestro de la cuenta afectada, los actores de amenazas podrían tratar de engañar a otros usuarios en la lista de contactos de la víctima e incluso tratar de acceder a otras plataformas en línea.
Durante los últimos meses el secuestro de cuentas de WhatsApp se ha convertido en uno de los más grandes problemas de ciberseguridad en España, especialmente debido a que millones de personas están a la espera de ser vacunadas contra el coronavirus.
Una campaña similar ha afectado a usuarios en América Latina, con cientos de reportes sobre mensajes de WhatsApp en los que se solicita a los usuarios reenviar el código de autenticación. Las autoridades de diversos países incluso han tenido que alertas a sus habitantes sobre estas campañas maliciosas, recomendando ignorar estos mensajes y reportar a la autoridad correspondiente.
La principal medida de seguridad es no divulgar este código por ningún medio, incluso WhatsApp recomienda no compartir este código con otras personas, ni siquiera familiares, amigos o conocidos. Por suerte, recuperar la cuenta secuestrada es tan fácil como completar el ataque, ya que los usuarios simplemente deben solicitar un código de verificación desde su dispositivo original.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.