Recientemente, la Guardia Civil ha llamado la atención sobre una nueva estafa dirigida a engañar al usuario para poder robarle la cuenta de la «app» propiedad de Facebook. Se trata del clásico caso de phishing, en el que el delincuente, valiéndose de ingeniería social, consigue que el afectado comparta sus claves. Este tipo de acciones están, prácticamente, a la orden del día, y no afectan exclusivamente a WhatsApp. También son populares a la hora de robar contraseñas bancarias, de entidades comerciales y de redes sociales, como Instagram.
Así es como funciona este timo: El delincuente, que previamente ha suplantado a alguno de los contactos del afectado, descarga la aplicación WhatsApp en su «smartphone» e introduce el número de teléfono de la cuenta que desea robar. El problema es que la «app» de mensajería, para asegurar de que la persona que quiere acceder es la auténtica propietaria, envía un código de verificación de seis cifras vía SMS que es imprescindible para acceder a la plataforma. Estos dígitos, a no ser que el «smartphone» haya sido infectado con «malware» (virus informático) previamente, no están a disposición del cibercriminal.
Entonces, al delincuente solo le queda engañar al propietario legítimo de la cuenta para que este le comparta la información. Lo que hace es enviarle un mensaje de WhatsApp a la víctima haciéndose pasar por uno de sus contactos. En este le dice que le ha mandado por error un SMS en el que aparecen seis números, y le pide que se los reenvíe: «Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, puedes pasar a mí por favor? es urgente».
Al ser una solicitud de una persona con la que, en teoría, la víctima tiene confianza, resulta sencillo caer en la trampa y terminar compartiendo la información. Algo que supone un gran riesgo, tanto para el usuario como para el resto de sus contactos. «El delincuente tendría la capacidad de suplantar a la víctima y, a través de sus contactos, empleando ingeniería social, acceder a mucha más información, como sus claves para otros servicios», explica a ABC el director de la consultora informática Securízame, Lorenzo Martínez.
Verificación en dos pasos
Para no caer en una trampa de este tipo, los expertos recomiendan activar la verificación en dos pasos en WhatsApp. Para habilitar esta opción, hay que abrir la «app» y dirigirse a «Configuración», acceder a «Cuenta» y activar la llamada «Verificación en dos pasos», de forma que el sistema requerirá un código cuando el usuario vuelva a registrar su número de teléfono en WhatsApp, como, por ejemplo, cuando cambia de dispositivo móvil.Además, puede asociar una dirección de correo electrónico, que servirá para que WhatsApp le envíe un enlace por email para que pueda deshabilitar la verificación en dos pasos en caso de olvido del código de acceso de seis dígitos.
También es importante fijarse bien en toda la información antes de compartirla. Si un usuario le solicita un código, aunque tenga confianza en él, debe confirmar la procedencia de los datos. Precisamente, otro timo, del que informó recientemente la empresa de ciberseguridad Kaspersky, se vale de este descuido para robar la cuenta de WhatsApp.
Qué hacer si he caído en la trampa
En caso de que haya caído en este timo o en otro similar, debe registrase de nuevo en WhatsApp con su teléfono y verificar el número ingresando el código de seis dígitos que recibe por SMS. Una vez haya hecho esto, la sesión de la persona con acceso a su cuenta se cerrará automáticamente.Sin embargo, en caso de que el delincuente haya activado la verificación en dos pasos, la operación se dificulta. Según explica WhatsApp en su sitio web, tendrá que esperar siete días para poder verificar su número sin el código de verificación en dos pasos. Transcurrido ese tiempo, independientemente de si sabe el código de verificación en dos pasos o no, la sesión de la persona con acceso a su cuenta se cerrará en cuanto ingrese el código de seis dígitos enviado por SMS.