Cómo pueden secuestrar tu cuenta de WhatsApp con tu número de teléfono

 

Cómo pueden secuestrar tu cuenta de WhatsApp con tu número de teléfono

Después de que comprometieran el teléfono de Jeff Bezos mediante un video malicioso enviado a través de WhatsApp, probablemente muchos de ustedes se hayan puesto a pensar en la seguridad de esta aplicación y en la de su propio teléfono, y se pregunten también si puede ser comprometido con facilidad. Hay muchas herramientas, consejos y trucos para proteger de los ciberdelincuentes a los dos mil millones de usuarios de WhatsApp, pero la verdad es que, si un actor malintencionado está lo suficientemente dedicado, hay poco que podamos hacer más que protegernos de la mejor manera posible y esperar que los atacantes se muevan hacia blancos más desprotegidos.

Pero cuando se trata de WhatsApp, ¿hay algo más que podamos hacer para proteger nuestra cuenta? Los mensajes ya están cifrados, lo que significa que las personas encargadas de hacer cumplir la ley no pueden investigar esas conversaciones privadas directamente, pero ¿hay otra forma de acceder a las cuentas? La clave de cifrado de un mensaje de WhatsApp está presente en ambos dispositivos que se usan en la conversación, por lo que un atacante tendría que tener en sus manos uno de los dos dispositivos para acceder a los registros de las conversaciones.

Aquí es donde la mayoría de los lectores pueden presumir que acceden a sus dispositivos utilizando un PIN complejo o una contraseña biométrica. Sin embargo, ¿qué pasaría se pudiera tomar el control de la cuenta de alguien con solo conocer su número de teléfono? Esto es muy posible y aterradoramente fácil de llevar a cabo, pero hay formas en las que usted como usuario puede reducir el riesgo y evitar que esto suceda con su cuenta. Describiré cómo al final de esta publicación.


Entonces, ¿cuál es el problema?

Cuando compra un nuevo teléfono e instala todas sus aplicaciones y configuraciones existentes, lo que hace es restaurar una copia de seguridad realizada en el otro equipo, y para ello WhatsApp requiere que se envíe un código a un número de teléfono. Ese código (generalmente enviado al dispositivo en el que está instalando la aplicación) validará el teléfono y recuperará sus grupos y contactos. Si también tiene una copia de seguridad de los mensajes, aparecerán hasta la última vez que se realizó una copia de seguridad del dispositivo. Si no, los nombres de las personas y grupos en los que está participando se mostrarán sin los mensajes.

Aquí es donde noté una falla potencial. ¿Podría configurar la cuenta de WhatsApp de otra persona en un nuevo dispositivo simplemente tomando el código enviado al teléfono de la otra persona?

Decidí probar mi hipótesis con uno de mis colegas la semana pasada (que generalmente está en el extremo receptor de mis travesuras de ingeniería social, pero sigue estando feliz de participar). Nota: ¡No pruebe esto en el dispositivo de nadie que previamente no le haya otorgado permiso de manera explícita!

Recientemente, le mencioné en una de nuestras conversaciones que, en caso de que no lo hiciera, es recomendable realizar una copia de seguridad de los grupos y mensajes de WhatsApp, ya que, ante un incidente, probablemente no quisiera perderlos para siempre. Unos días después, usé un teléfono de respaldo que tengo y descargué la aplicación. Enseguida solicitó mi número de teléfono para verificar el dispositivo en el que se iba a instalar.

No pasó mucho tiempo antes de que mi colega abandonara su escritorio para hacer un café, dejando su teléfono a la vista en su escritorio, así que ingresé su número de teléfono en mi nueva cuenta de WhatsApp. Su teléfono instantáneamente recibió un mensaje (en silencio) y pasé junto a su escritorio y memoricé el código. Lo escribí en el campo de verificación en mi teléfono de respaldo y lo logré: tenía el control de su cuenta.

Pude ver todos los grupos en la aplicación, pero no los mensajes. Para llevar mi prueba al siguiente nivel, encontré un grupo llamado “The Hunz”, al que envié el mensaje “¡Hey! Tengo un mal día… ¡alguien que envíe memes! Acto seguido: recibí un montón de respuestas graciosas de sus amigos desprevenidos.

Cuando mi colega regresó a su escritorio con su café, no se dio cuenta del hecho. Pasaron unos minutos hasta que miró su teléfono y dijo en voz alta “Eso es extraño, he recibido un código de WhatsApp por alguna razón”. Noté su mirada pensativa, pero luego supe que todo lo que hizo fue eliminarlo.

Inmediatamente me acerqué y le conté lo que acababa de pasar. No podía creer lo fácil que había sido tomar posesión de su cuenta y sintió la falta de seguridad. Mencionó algo muy cierto, que muchas personas descuidan sus teléfonos y no piensan en el riesgo, incluso en lugares públicos, como restaurantes y bares. Enseguida restauramos la cuenta en su teléfono y luego le ofrecí consejos sobre cómo detener ese ataque.

¿Cómo prevenir este ataque de secuestro de cuenta de WhataApp?

En primer lugar, debe desactivar la vista previa de sus mensajes SMS. Esto puede sonar obvio, pero muchas personas prefieren tener activa esta opción para mirar los mensajes más rápidamente. Cuando las personas usan la verificación en dos pasos (también conocido como doble factor de autenticación) sin una aplicación de autenticación, tienden a recibir códigos enviados por SMS, pero si se pueden ver en una pantalla bloqueada, no tienen sentido para un usuario que no está atento a su teléfono.

Por lo tanto, en segundo lugar, nunca debe perder de vista su teléfono o dispositivo. He visto a innumerables personas en el tren quedarse dormidas con sus teléfonos a la vista o incluso ir al baño en restaurantes mientras dejan sus teléfonos rodeados de extraños. Además, hay muchas manzanas podridas en las empresas, por lo que incluso si confía en sus colegas, siempre existe la posibilidad de que otra persona intente probar este vector de ataque.

Finalmente, hay incluso una mejor forma de proteger su cuenta que debería configurar en este momento. Activar la verificación de dos pasos en WhatsApp, ya que es simple de configurar y evitará que este ataque tenga éxito. A continuación, se muestra el proceso de cómo hacerlo, ¡así que abra la aplicación y configúrela!

Cómo configurar la verificación en dos pasos en WhatsApp

Con la aplicación abierta, dirígete a Ajustes/Cuenta/Verificación en dos pasos y haz clic en Activar. Luego, ingrese un código de seis dígitos que siempre recordará.








 

Luego, ingrese su dirección de correo electrónico como capa de seguridad adicional. Finalmente, verá la confirmación de la verificación en dos pasos configurada en su teléfono, lo que significa que será mucho más difícil para alguien poder secuestrar su cuenta o transferir sus mensajes a otro dispositivo.






 

A partir de ahora y para ayudarlo a recordar su número, cuando abra WhatsApp la aplicación le pedirá cada tanto y de manera aleatoria que ingrese su PIN. No será cada vez que abra la aplicación, por lo que no debería ser un inconveniente. Sin embargo, lo preparará mejor para disfrutar de una tecnología más segura.

FUENTE: https://www.welivesecurity.com/la-es/

Comentarios

Publicar un comentario

Entradas populares de este blog

PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS

Imagen
  PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS Los ataques contra cajeros automáticos en la calle han evolucionado a grandes pasos, dejando atrás los métodos de compromiso físico de estas máquinas para llegar a los ataques empleando tecnología y avanzadas capacidades de hacking. Los análisis más recientes sugieren que el método más sofisticado actualmente es conocido como “Black Box”, basado en el uso de una microcomputadora con una placa única. En esta ocasión, los especialistas en  concientización de ciberseguridad  del Instituto Internacional de Seguridad Cibernética  (IICS)  le mostrarán las características más importantes de estos ataques, que podrían generar pérdidas millonarias a las instituciones bancarias. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a la información aq...
Leer más

Dictaminan que Facebook Argentina es sujeto obligado por la ley de datos personales en el marco de una acción de habeas data

Imagen
  El procurador fiscal ante la Corte Suprema de Justicia de la Nación Víctor Abramovich dictaminó en un caso en que se había condenado a Facebook Argentina SRL a develar datos del usuario que había creado la publicación bajo análisis. En su dictamen, Abramovich opinó que correspondía hacer lugar parcialmente al recurso extraordinario presentado por la demandada y que se debía revocar la sentencia apelada. En la causa, se hace foco en la aplicación de la ley de datos personales, la legitimación pasiva de la filial local de la empresa en el marco de una acción de habeas data y las reglas constitucionales que rigen el anonimato como forma de participación en asuntos de interés público. La Sala II de la Cámara Federal de Apelaciones de La Plata modificó, en el marco del caso “Quinteros, Héctor Andrés c/ Facebook Argentina SRL s/ amparo ley 16986”, la sentencia de la instancia anterior y revocó la condena a Facebook Argentina SRL, en donde se había ordenado la eliminación de la ima...
Leer más

Suplantación de identidad: condenaron al Banco Provincia

Imagen
  Suplantación de identidad: condenaron al Banco Provincia a pagar más de $1.000.000 por daño material y punitivo Fue a raíz de que un cliente desconociera una serie de operaciones realizadas desde su cuenta. El juez Carlos Catoggio, a cargo del Juzgado Civil y Comercial N°25 de La Plata, consideró que hubo una desatención por parte de la entidad bancaria porque no desplegó medidas de seguridad adecuadas a fin de evitarlo. El juez  Carlos José Catoggio , a cargo del   Juzgado Civil y Comercial Nº 25 de La Plata , hizo lugar a una demanda por  nulidad de contrato y daños y perjuicios , promovida contra el  Banco Provincia , y le ordenó a la entidad a abonarle a un cliente una suma de  $92.717,25 por daño material  y de  $1.000.000 por daño punitivo .  En el caso, la parte actora detalló una serie de  operaciones de crédito y transferencias  realizadas desde su  cuenta bancaria de las que nunca participó . En su presentación...
Leer más