Los ciberdelincuentes han ido adaptando sus señuelos a la situación social y sanitaria causada por la Covid-19, cuando la población es aún más vulnerable. El hackeo de las cuentas de Whatsapp, que en octubre ya obligó a la Policía Nacional a difundir una alerta para prevenir engaños, vuelve a dejar varias víctimas en Málaga. El fraude es el mismo. Los estafadores suplantan la identidad de uno de los contactos para pedirle al usuario elegido un código de verificación que, supuestamente, le pertenece. Facilitarlo implica perder el control total de la aplicación. El Grupo de Ciberdelincuencia de la Comisaría provincial trata de descubrir quién está detrás de estos robos y advierte que en algunos países los usurpadores ya están pidiendo rescates económicos para recuperar la cuenta y, con ella, toda la información valiosa que suele almacenarse. “Hay quien usa Whatsapp a nivel empresarial, tiene contactos con muchos clientes y le interesa pagar un rescate por el secuestro de la cuenta”, advierte en declaraciones a este periódico uno de los policías que persiguen estos ciberdelitos.

En España, hasta la fecha, no se tiene conocimiento de que los autores le hayan dado “utilidad” a estos hackeos, que en el caso de Málaga han supuesto varias denuncias en apenas unos días durante el mes de diciembre. Se trata de estafas que vienen de lejos. La primera alarma por la sustracción de un perfil de Whatsapp llegó el verano pasado, aunque, en palabras del investigador consultado, no se interpuso ninguna denuncia. Pero los efectivos detectaron que los delincuentes se servían de las propias medidas de seguridad de la app de mensajería para convertirlas en una vulnerabilidad.

La función “verificación en dos pasos”, clave frente a estafas

El modus operandi era similar en los casos que posteriormente se siguieron registrando. La preocupación era tal que la Oficina de Seguridad del Internauta lanzó una alerta para prevenir a los usuarios de que no facilitaran el código de verificación y aconsejaba activar en Whatsapp la función “verificación en dos pasos”, que supone un doble factor de seguridad.

En octubre llegaron las primeras denuncias a Málaga y fue cuando la Comisaría emitió un aviso en el que explicaba que a través de esta modalidad de phishing, el hacker, que previamente se hace pasar por uno de los contactos de la víctima, descarga la aplicación de mensajería e introduce el número de teléfono de la cuenta que pretende robar. La app, para asegurarse que la persona que quiere acceder es la propietaria real del perfil, envía un código de verificación, vía SMS, que es imprescindible para acceder a la plataforma.

Después, las víctimas reciben un mensaje en Whatsapp, supuestamente de alguno de sus contactos, en el que le indican que por error le han enviado un código por SMS, rogándole que le facilite dicha clave a través de la app. He ahí el fraude. “En diciembre han vuelto a caer varias personas. Todas las estafas online usan la ingeniería social, es decir, buscan el engaño para que el usuario sea quien facilite voluntariamente sus datos, ya sean bancarios o una contraseña”, subrayan desde el Grupo de Ciberdelincuencia.

Así, la Policía recomienda también contar con una clave personal de varios dígitos que solo conozca el titular del perfil. De esa forma, el atacante “tendría que tener dos datos, cuando lo normal es que consiga solo uno”, remacha el investigador.

En caso de que la cuenta de Whatsapp haya sido secuestrada, el experto subraya que debe solicitarse su reactivación, aunque hasta pasados siete días ésta no se hará efectiva. La aplicación recuerda en su página web la importancia del cifrado de extremo a extremo, a través del que los mensajes se aseguran con un candado. Así, solo el emisor y el destinatario tienen la “llave especial” para desbloquearlos y leerlos, sin necesidad de activar ajustes ni tampoco “crear chats secretos especiales para asegurar los mensajes”.