El presidente de Ciudadanos, Albert Rivera, ha denunciado ante la Guardia Civil un supuesto hackeo de su WhatsApp con el que unos ciberdelincuentes habrían conseguido hacerse con su cuenta y acceder a sus conversaciones y contactos.
Según El Mundo, ocurrió a través de un caso de phishing. Es decir, se hicieron pasar por WhatsApp para que Rivera les facilitara su clave. En concreto, cuentan que el líder de Ciudadanos recibió una alerta diciendo que alguien había intentado acceder a su cuenta y que para verificar su identidad tenía que facilitar un código, cosa a la que accedió, según el diario, pero que Maldita.es no ha podido verificar de forma independiente.
En cualquier caso, desde WhatsApp nos dicen que la compañía "nunca te pedirá tu código de registro" y que, de hecho, cuando lo recibes se aclara que es importante que "no compartas este código con nosotros". Además, recomiendan que actives la opción de verificación de dos pasos, con el que además de la clave que te envían necesitarás un PIN personal para vincular tu cuenta de WhatsApp en un dispositivo nuevo. Aquí cuentan cómo puedes hacerlo.
Preguntados por esta cuestión, desde Ciudadanos no han querido facilitarnos detalles sobre lo ocurrido salvo que "se puso en conocimiento de la Guardia Civil". Desde este cuerpo nos dicen también que el incidente se "ha puesto en nuestro conocimiento y estamos investigando".
Coincidiendo con la denuncia de Rivera, el Grupo de Delitos Telemáticos de la Guardia Civil ha difundido a través de su cuenta oficial de Twitter un artículo de la OCU en la que se describe el modus operandi de este caso de phishing.
Pese a que personas conocidas como el propio Rivera están más expuestos a este tipo de phishing, es importante que sepas cómo operan quienes están detrás de ello para evitar que te roben tu WhatsApp o tus perfiles en redes sociales, porque no sólo se hace para obtener información privada, también sirve para acceder a datos personales o incluso hacerse con el dinero de las víctimas.
Nunca facilites a otra persona el código de verificación de WhatsApp
El primer paso que llevan a cabo es averiguar cuál es tu número de teléfono para después iniciar sesión en WhatsApp con el mismo. En cuanto introduzcan el número de teléfono recibirás un SMS de WhatsApp con un código de acceso. Mucho ojo si te lo envían sin que tú lo hayas solicitado.
Previamente, los ciberdelincuentes se hacen pasar por el servicio oficial de WhatsApp y te pedirán el código que has recibido en el SMS, pero no lo facilites en ningún caso porque eso les permitirá acceder a tus conversaciones y contactos.
Aunque no sea una técnica especialmente compleja, este tipo de phishing es muy común a través de otras plataformas como Twitter, donde fueron víctimas varios usuarios después de que les prometieran falsamente verificar su cuenta, como ya os contamos en Maldita.es. También es frecuente encontrarse con estos mensajes en el correo electrónico con la excusa de un reembolso o cambio de condiciones de uso.
En cualquier caso, no pinches en ningún enlace ni facilites ningún código para verificar tu identidad si no lo has solicitado tú personalmente. También puedes activar el sistema de verificación de dos pasos que ofrece la plataforma, con el que además de la clave que te envían necesitarás un PIN personal para vincular tu cuenta de WhatsApp en un dispositivo nuevo.
Lo que puedes hacer para evitar ser víctima de casos de phishing
Aquí tienes una serie de recomendaciones generales que podrían serte de utilidad si recibes un mensaje de estas características.
- Fíjate en la URL.Comprueba en la barra de direcciones que la página web a la que te redirige el enlace del supuesto mensaje de la empresa o institución tenga una URL oficial. Ten en cuenta que los delincuentes pueden copiar su imagen corporativa, pero no pueden copiar su dominio.
- Atento a la dirección del correo electrónico. Algo parecido a lo anterior ocurre en este caso, los estafadores te envían comunicaciones desde emails que se parecen a los oficiales, pero no lo son. Presta atención a lo que viene después de la “@”, si notas algo raro, borra el correo. Si te contactan por teléfono, compruébalo también.
- Revisa la redacción del texto. En una notificación oficial de una empresa o institución, es muy improbable que el texto tenga faltas de ortografía. Los emails de phishing suelen estar mal redactados o tienen erratas graves.
- Si no está dirigido a tu nombre, sospecha. Normalmente, cuando una institución te envía un correo electrónico se dirige a ti por tu nombre. En los correos de phishing se suelen utilizar fórmulas anónimas como “Estimado cliente” o “Notificación al usuario”.
- Antes de pinchar, pregunta a la institución afectada. Que una institución pida información confidencial a través de un SMS no es lo común. Si sospechas del mensaje, llama a la empresa o el organismo afectado.
- Contrasta la información con fuentes oficiales. Los mensajes de phishing te solicitan que introduzcas tus datos con urgencia para que no te dé tiempo a reaccionar. Pero, si dudas, recuerda que puedes preguntar a la Policía o a la Guardia Civil para comprobar si se trata de phishing. También puedes escribirnos a través de nuestro servicio de WhatsApp (655 198538) y te intentaremos ayudar.
La imagen que encabeza este artículo fue subida por Álvaro Ibáñez a Flickr y puede verse en su versión original aquí.