Tabla de contenidos
Clonación de WhatsApp – WhatsApp es la aplicación de mensajería móvil más popular del mundo. Según una encuesta de Statista, en marzo del año pasado, México se encontraba en el octavo lugar de los países de América Latina con la mayor penetración de WhatsApp y su uso continúa en aumento.
Sin embargo, a medida que su popularidad crece, también aumentan los casos de ciberdelincuentes que buscan difundir estafas masivas y que alcanzan cada vez más víctimas.
Los tipos de estafas de este estilo también se están volviendo cada vez más sofisticadas, y los delincuentes utilizan técnicas de ingeniería social para engañar a las personas y lograr que compartan sus códigos de seguridad de dos factores para obtener el control de sus cuentas.
Clonación de WhatsApp – Cuando los ciberdelincuentes acceden a la cuenta de la víctima
Existen formas conocidas de estafas, como cuando, después de obtener el número de teléfono de la víctima, el ciberdelincuente hace una llamada que parece ser un empleado o el soporte técnico de un sitio web reconocido, para pedirle a la víctima que comparta un código de confirmación por SMS, pero, de hecho, este código fue enviado por el estafador.
Al enviar a la víctima este código a través de un enlace de WhatsApp, si la víctima hace clic en este, permitirá a los ciberdelincuentes detrás de la estafa clonar su cuenta y luego buscar más contactos para engañar. De esta forma, el usuario puede perder el control de su WhatsApp, mientras que el estafador puede leer y enviar mensajes en su nombre.
Cuando se usa una cuenta de WhatsApp existente en un dispositivo nuevo, los grupos a los que pertenece ese número de teléfono se transfieren automáticamente al dispositivo nuevo.
Todos los mensajes enviados previamente en el chat en línea de un grupo no aparecen, pero los números de teléfono de otros miembros del grupo son visibles, lo que probablemente facilita la identificación de nuevas víctimas por parte de los ciberdelincuentes.
Clonación de WhatsApp – Los números de teléfono son fáciles de encontrar
La mayoría de la gente no considera los números de teléfono utilizados en WhatsApp como información confidencial. Por lo tanto, estos datos pueden estar disponibles en los perfiles de redes sociales de las personas, ser enviados por diferentes servicios, ser obtenidos mediante acciones de marketing o incluso en filtraciones de bases de datos y, en este caso, vendidos en la darknet. Incluso los intentos aleatorios de los ciberdelincuentes de encontrar posibles combinaciones de números podrían generar buenos resultados para los estafadores.
Estafas que se propagan en México
Se han explorado gran variedad de temas, incluyendo Covid-19. En el caso del Coronavirus, los ciberdelincuentes se hacen pasar por la OMS y el Gobierno para robar los datos personales de los usuarios. En el mensaje se explica que se les dará un supuesto bono de dinero, cajas de alimentos o formularios para inscribirse a supuestos subsidios si envían una foto del documento de identidad e invita a conseguir el bono en un enlace.
Entre otras estafas de WhatsApp está la de enviar mensajes anunciando que se ganó un premio: “¡Felicidades!, te ganaste un premio” o “tienes un premio para retirar”. Al dar click en el enlace que envían los ciberdelincuentes, se roba la información de los usuarios. Y en algunos casos el malware ingresa a tu teléfono utilizando un software espía.
Además, en México circularon ciertas estafas que pedían al usuario actualizar sus aplicaciones a través de un enlace que los ciberdelincuentes enviaban. El mensaje decía que la aplicación dejaría de ser gratuita y los invitaba a descargar una “actualización” que en realidad se trataba de un malware.
¿Qué hacer si se clona su cuenta?
Clonación de WhatsApp – Los usuarios que sospechen que su cuenta de WhatsApp ha sido hackeada deben:
- Iniciar sesión en WhatsApp con su número de teléfono y verificarlo ingresando el código que reciben por SMS. Esto cerrará la sesión de otros usuarios y devolverá al propietario el control de su cuenta;
- Hablar con sus contactos a través de otros canales, informarles de su sospecha y decirles que ignoren los mensajes que pueden enviarse a través de su cuenta hasta que se resuelva el problema;
Si un usuario percibe que se enfrenta a un fraude, debe dejar de interactuar con la persona de inmediato y denunciarlo a las autoridades locales.
¿Cómo protegerse?
- El usuario debe evitar compartir su número de teléfono en plataformas públicas a toda costa. Si necesita ser contactado, la recomendación es proporcionar la dirección de correo electrónico;
- Habilite la autenticación de dos factores en la configuración de su cuenta de WhatsApp. De esta forma, el atacante también deberá ingresar su PIN 2FA, además del código SMS, lo que dificulta mucho el secuestro.
- Nunca comparta su código de autenticación de WhatsApp con nadie, ni siquiera con amigos y familiares; nadie debe solicitar un código de verificación de ningún tipo a través de WhatsApp.
- Si alguien afirma que necesita verificar una de sus cuentas, es probable que se trate de una estafa. Si necesita verificar una cuenta, hágalo directamente dentro de la plataforma, pero nunca envíe códigos de verificación a través de WhatsApp. Los códigos de autenticación o verificación de dos factores deben tratarse como contraseñas, lo que significa que nunca deben publicarse ni compartirse con nadie.
Los ciberdelincuentes pueden comunicarse enviando mensajes vía WhatsApp o realizando llamadas con planteos o historias que involucran a las víctimas, tratando de convencerlos para que proporcionen (sin saberlo) el código de autenticación de seis dígitos necesario para activar la cuenta en la aplicación de mensajería.
Por lo tanto, si alguien se comunica contigo y te cuenta una historia que parece demasiado buena, ten cuidado: podría ser una estafa.
* Luis Corrons es Evangelista en Seguridad de Avast. Siempre atento a las últimas noticias sobre ciberseguridad, malware y darknet, Luis es un veterano de la industria de la seguridad y un reconocido orador en el sector. También es reportero de WildList, miembro de la Junta Directiva de AMTSO (Organización de Estándares de Pruebas Anti-Malware) y miembro de la Junta Directiva de MUTE (Seguimiento e Intercambio de URL maliciosas).
Por Luis Corrons, Evangelista en Seguridad de Avast