WhatsApp es uno de los objetivos más atractivos para los hackers en busca de desplegar campañas de fraude electrónico, ya que representa un punto de acceso a gran cantidad de información confidencial. Rahul Sasi, fundador y director ejecutivo de la firma de seguridad CloudSEK, detalló la detección de un nuevo ataque que permite hackear cuentas de WhatsApp de forma muy simple e inadvertida para las víctimas.
El ataque descrito por el experto en entrevista para 91 Mobiles es muy simple y comienza con el usuario objetivo recibiendo una llamada de los actores de amenazas pidiendo llamara a un número específico. Si el usuario hace la llamada, los atacantes podrán tomar control de su cuenta en cuestión de segundos.
La técnica es similar al ataque OTP identificado en abril de 2021 y podría resultar altamente efectiva contra los usuarios desprevenidos. Veamos los pasos más importantes del ataque y cómo prevenirlos:
Como mencionamos antes, el ataque comienza con los hackers llamando a la víctima potencial para convencerla de marcar un número con estructura *67-(número de 10 dígitos)*, o bien *405-(número de 10 dígitos)*. Poco después de marcar uno de estos números, la cuenta del usuario será secuestrada por los hackers.
Cuando los hackers obtienen acceso a las cuentas afectadas, comenzarán a solicitar dinero a los contactos de la víctima. Acorde a Sasi, ya que muchas compañías de telefonía usan números comenzando con ’67’ y ’45’, es completamente entendible que los usuarios caigan en la trampa.
Esta no es una táctica demasiado distinta a otros trucos empleados por cibercriminales anteriormente. Investigaciones anteriores han detectado varias formas similares para obtener el control de cuentas en WhatsApp mediante la intercepción de tokens OTP, ataques altamente sigilosos y que no generan sospechas en los usuarios afectados hasta que es demasiado tarde.
Ante este riesgo constante, lo mejor para los usuarios es mantenerse prevenidos; habilitar la autenticación multifactor e ignorar esta clase de mensajes o llamadas telefónicas son las mejores formas de prevenir el robo de claves de acceso.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.