Nos preguntáis sobre una estafa de la aplicación de mensajería WhatsApp en la que los delincuentes se hacen pasar por el servicio técnico de la aplicación para conseguir tu código personal e ingresar en tu cuenta. Es un caso de phishing y además este tipo de estafa no es nueva: le ocurrió también al expresidente de Ciudadanos, Albert Rivera, y ya os hablamos sobre ella en Maldita.es.
WhatsApp no pide nunca el código de registro, y en caso de detectar sospechas de robo de cuenta hay que actuar rápido. Tanto el Grupo de Delitos Telemáticos de la Guardia Civil como el Instituto Nacional de Ciberseguridad (INCIBE) han alertado sobre este tipo de estafas.
Te escriben haciéndose pasar por el servicio técnico de WhatsApp y diciendo que se ha registrado una cuenta con tu número
La empresa de ciberseguridad Panda Security ha alertado de esta técnica en un post y ha explicado cómo funciona:
- Los atacantes te escriben por chat a través de la propia aplicación haciéndose pasar por el servicio técnico. En el mensaje, aseguran que “se ha registrado una cuenta de Whatsapp” con tu número y “no pueden determinar si el inicio de sesión es legítimo”.
- Para comprobar que están hablando con el propietario de la cuenta, el falso servicio técnico pide que reenvíes un código de seguridad que vas a recibir por SMS.
- En ese momento los atacantes intentan iniciar sesión con el número de teléfono de la víctima y la víctima recibe un SMS real de WhatsApp con su código de verificación.
- Si se envía este código a los atacantes, la víctima pierde el control de la cuenta y los atacantes pueden acceder a la información.
WhatsApp dice que nunca debes compartir tu código de verificación y que ellos no te lo pedirán nunca
Desde Maldita.es nos pusimos en contacto con WhatsApp y nos dijeron que la compañía “nunca te pedirá tu código de registro” y que cuando lo recibes indican que es importante que “no compartas este código”.
Desde el apartado de preguntas frecuentes de su web, la compañía WhatsApp advierte que nunca debes compartir tu código de verificación con nadie, ni siquiera con familiares o amigos.
En caso de ser una persona sospeche que le han robado la cuenta de WhatsApp, la empresa advierte que “debes notificar a tus familiares y amigos que dicha persona podría hacerse pasar por ti en tus chats individuales y de grupo”. WhatsApp también aclara que sus conversaciones están cifradas de extremo a extremo y que los chats se almacenan en los propios teléfonos, por lo que si alguien accede desde otro dispositivo no puede leer las conversaciones pasadas.
En su web, WhatsApp recomienda que si sospechas que alguien puede haberte robado la cuenta y que la está usando desde WhatsApp Web o Escritorio, te recomiendan cerrar las sesiones en todos los ordenadores desde el teléfono.
WhatsApp también explica en este artículo qué hacer cuando recibas por SMS un código de verificación que no habías solicitado.
¿Cómo recuperar la cuenta en caso de que la hayan robado?
WhatsApp explica en su web que hay que registrarse en la aplicación y verificar el número al ingresar el código de verificación de seis dígitos que recibas por SMS. En el siguiente vídeo se explica verificar un número de teléfono en WhatsApp:
Una vez que ingreses el código de seis dígitos recibido por SMS, la sesión de la persona que tenga acceso a tu cuenta se cerrará automáticamente.
También es posible que te pidan ingresar un código de verificación en dos pasos. Si no sabes ese código, es posible que la persona con acceso a tu cuenta haya activado la verificación en dos pasos. En ese caso, debes esperar siete días para poder verificar tu número. Sin embargo, independientemente de que el atacante haya activado esta opción, su sesión se cerrará en cuanto se ingrese el código de seis dígitos recibido por SMS.
Otros métodos mediante los que pueden robarte la cuenta de WhatsApp
Según nos ha explicado el INCIBE, el robo de cuentas de WhatsApp es algo común, ya que “es uno de los principales objetivos de los ciberdelincuentes al ser una de las herramientas de comunicación más usadas”. El INCIBE añade que este tipo de estafas “de falso soporte” y la duplicidad de tarjetas SIM son algunos de los métodos más habituales.
En un post del blog elladodelmal.com, la experta en ciberseguridad Yaiza Rubio explica que este tipo de ataques pueden ir más allá y hacer uso incluso de las llamadas y el buzón de voz de los teléfonos.
Lo que puedes hacer para evitar ser víctima de casos de phishing
Aquí tienes una serie de recomendaciones generales que podrían serte de utilidad si recibes un mensaje de estas características.
- Fíjate en la URL. Comprueba en la barra de direcciones que la página web a la que te redirige el enlace del supuesto mensaje de la empresa o institución tenga una URL oficial. Ten en cuenta que los delincuentes pueden copiar su imagen corporativa, pero no pueden copiar su dominio.
- Atento a la dirección del correo electrónico. Algo parecido a lo anterior ocurre en este caso, los estafadores te envían comunicaciones desde emails que se parecen a los oficiales, pero no lo son. Presta atención a lo que viene después de la “@”, si notas algo raro, borra el correo. Si te contactan por teléfono, compruébalo también.
- Revisa la redacción del texto. En una notificación oficial de una empresa o institución, es muy improbable que el texto tenga faltas de ortografía. Los emails de phis
- Si no está dirigido a tu nombre, sospecha. Normalmente, cuando una institución te envía un correo electrónico se dirige a ti por tu nombre. En los correos de phishing se suelen utilizar fórmulas anónimas como “Estimado cliente” o “Notificación al usuario”.
- Antes de pinchar, pregunta a la institución afectada. Que una institución pida información confidencial a través de un SMS no es lo común. Si sospechas del mensaje, llama a la empresa o el organismo afectado.
- Contrasta la información con fuentes oficiales. Los mensajes de phishing te solicitan que introduzcas tus datos con urgencia para que no te dé tiempo a reaccionar. Pero, si dudas, recuerda que puedes preguntar a la Policía o a la Guardia Civil para comprobar si se trata de phishing. También puedes escribirnos a través de nuestro servicio de WhatsApp (655 198538) y te intentaremos ayudar.
Primera fecha de publicación de este artículo: 20/08/2020