Maldita Tecnología
Maldito Bulo
17/11/2020

Cuidado si recibes un WhatsApp que te avisa de que te han enviado "un código de 6 dígitos por SMS por error”: se trata de un caso de suplantación de identidad (pero no hackean tu teléfono)

Nos estáis preguntando por un mensaje que llega por WhatsApp pidiendo un código de verificación de seis dígitos que habríamos recibido en nuestro teléfono. Teóricamente, ese mensaje proviene de una persona de nuestra lista de contactos, lo que nos llevaría a fiarnos de él. Sin embargo, se trata de un caso de suplantación de identidad que busca hacerse con tu cuenta de WhatsApp y lista de contactos. Eso sí, con él no se harían con tus datos bancarios, como se han dicho en algunos medios. Este es uno de los vídeos que nos habéis hecho llegar en el que se muestra ese caso de suplantación de identidad:

De este modus operandi se han hecho eco en programas de televisión como Ya es mediodía, de Telecinco (a partir del minuto 41:55). Sin embargo, dan una serie de datos erróneos sobre cómo es el proceso y también dicen que con este ataque se hackea el teléfono y se puede acceder a datos bancarios, lo cual no es cierto. Os lo explicamos.

La Guardia Civil advirtió de este ataque en febrero y ha emitido ahora una nueva alerta*

En febrero de 2020, la Guardia Civil de Navarra alertó a través de una nota de prensa "de una posible campaña de suplantación de identidad a través de la aplicación de mensajería móvil WhatsApp", de la cual os hablamos ya en Maldita.es. Según las denuncias que recibieron, los usuarios han recibido un mensaje a través de WhatsApp que les decía “Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, puedes pasar a mí por favor? es urgente”.

A 4 de noviembre, la Guardia Civil de Navarra ha emitido una nueva nota de prensa en la que vuelve a alertar de la misma campaña.

El método de esta posible suplantación de identidad, según la Guardia Civil, es que "el atacante, una vez instalada la aplicación en un dispositivo de su propiedad" introduce el número de teléfono de la posible víctima. A continuación, "el sistema envía a ese número un mensaje SMS, con un código de verificación que se debe introducir en la aplicación para verificar que se trata del usuario correcto y finalizar la instalación".

El atacante se haría pasar "por un conocido de la víctima, al que previamente ya habría suplantado o tomado el control de su cuenta, le envía un mensaje pidiéndole que le reenvíe un SMS con un código numérico que necesita y que le habría enviado por error".

Ese SMS que le solicita el atacante a la víctima es el mensaje que envía la app con el código de verificación para la instalación de la aplicación. Si la víctima se lo facilita, "el atacante obtiene el control de la cuenta en su dispositivo y con ello el acceso a todos los grupos a los que pertenezca la víctima, así como el acceso a todos sus contactos", explica la Guardia Civil.

Nota de prensa suplantación WhatsApp by Maldita.es on Scribd

El INCIBE afirma que vuelve a haber consultas sobre este ataque

El Instituto Nacional de Ciberseguridad ha afirmado a Maldita.es que han notado un "leve repunte" en las consultas recibidas por diferentes usuarios en relación a esta temática.

El modus operandi que describe el INCIBE es el siguiente: se recibe el código por SMS y un contacto nos informa que lo ha enviado por error, que se lo hagamos llegar. Al enviarlo, se pierde control sobre la cuenta y nuestros contactos comienzan a recibir la misma solicitud.

En agosto, el INCIBE ya alertó de que ciberatacantes estaban haciéndose pasar por el servicio técnico de la aplicación, diciendo que se había registrado un nuevo contacto con el número de la víctima, para hacerse con el código de verificación que mandaban por SMS.

WhatsApp dice que nunca debes compartir tu código de verificación y que ellos no te lo pedirán nunca

Desde el apartado de preguntas frecuentes de su web, la compañía WhatsApp advierte que nunca debes compartir tu código de verificación con nadie, ni siquiera con familiares o amigos, como te contamos ya en Maldita.es.

En caso de ser una persona sospeche que le han robado la cuenta de WhatsApp, la empresa advierte que “debes notificar a tus familiares y amigos que dicha persona podría hacerse pasar por ti en tus chats individuales y de grupo”. WhatsApp también aclara que sus conversaciones están cifradas de extremo a extremo y que los chats se almacenan en los propios teléfonos, por lo que si alguien accede desde otro dispositivo no puede leer las conversaciones pasadas.

Fuente: Whatsapp.com

En su web, WhatsApp recomienda que si sospechas que alguien puede haberte robado la cuenta y que la está usando desde WhatsApp Web o Escritorio, te recomiendan cerrar las sesiones en todos los ordenadores desde el teléfono.

WhatsApp también explica en este artículo qué hacer cuando recibas por SMS un código de verificación que no habías solicitado.

Con este ataque no acceden a tu teléfono o a tus datos bancarios

En el programa de televisión de Telecinco aseguran que este proceso se lleva a cabo cuando reenvías el mensaje falso de vuelta a tu contacto, y no cuando les pasas el código de seis dígitos que has recibido por SMS (que es realmente lo que buscan los ciberdelincuentes). También que una vez hecho eso los atacantes tendrán acceso a todo nuestro teléfono y a nuestros datos bancarios, pero esto no es así.

Este ataque concreto busca hacerse con las cuentas personales de WhatsApp de las víctimas, así como con su lista de contactos. De esta manera, pueden seguir suplantando la identidad de otras personas para obtener más información, pero no acceden al dispositivo en sí. WhatsApp no puede operar en dos dispositivos móviles a la vez (a octubre de 2020), por lo que si se logra iniciar la cuenta desde otro terminal, en el nuestro quedará inoperativo.

Para que los ciberatacantes pudiesen hacerse con el control de nuestro dispositivo a través de WhatsApp, haría falta que nos enviaran un archivo o un enlace infectado en el propio mensaje que recibimos por WhatsApp para que, al clicar en él, se ejecute en el teléfono. No es el caso de este ataque.

Con esta técnica se pueden llegar a obtener otro tipo de datos, no solo nuestros contactos en WhatsApp

No es el caso de esta campaña de suplantación de identidad, pero hay que tener en cuenta que a través de SMS nos llegan muchos códigos de verificación, no solo con el que accedemos a WhatsApp.

Por ejemplo, para confirmar compras online o para hacer transferencias bancarias también pueden enviarnos un SMS con un código de verificación que tendremos que introducir para completar la operación que estemos llevando a cabo. Son códigos que nunca debemos compartir por WhatsApp ni ninguna otra plataforma, ya que no sabemos con certeza quién está al otro lado de la conversación.

En un ataque de suplantación dirigido a hacerse con nuestros datos bancarios o a confirmar una transferencia de dinero, también alguien puede hacerse pasar por un conocido para pedirnos ese código de confirmación. Por tanto, no tenemos que confiarnos con que el caso de WhatsApp es aislado sino que debemos evitar compartir ese tipo de códigos en cualquier circunstancia.

Verificación en dos pasos para evitar ataques

En la nota de prensa citada, la Guardia Civil recuerda que "las aplicaciones de mensajería más conocidas integran varios sistemas de seguridad para evitar en lo posible ser víctimas de este tipo de situaciones", como la verificación en dos pasos, que es "una función opcional que añade más seguridad a la cuenta, haciendo que cualquier intento de verificación deba ir acompañado de un número PIN, previamente creado por el usuario y que solo él conoce". La Guardia Civil insta a usar la verificación en dos pasos.

De esta manera, conseguimos añadir una capa extra de protección a la aplicación: si alguien intenta acceder a ella, tendremos una segunda vía por la que autenticar nuestra identidad que no sea por SMS. En el enlace te hablamos de este proceso.

¿Cómo recuperar la cuenta en caso de que la hayan robado?

WhatsApp explica en su web que hay que registrarse en la aplicación y verificar el número al ingresar el código de verificación de seis dígitos que recibas por SMS. En el siguiente vídeo se explica verificar un número de teléfono en WhatsApp:

Una vez que ingreses el código de seis dígitos recibido por SMS, la sesión de la persona que tenga acceso a tu cuenta se cerrará automáticamente. 

También es posible que te pidan ingresar un código de verificación en dos pasos. Si no sabes ese código, es posible que la persona con acceso a tu cuenta haya activado la verificación en dos pasos. En ese caso, debes esperar siete días para poder verificar tu número. Sin embargo, independientemente de que el atacante haya activado esta opción, su sesión se cerrará en cuanto se ingrese el código de seis dígitos recibido por SMS.

Primera fecha de publicación de este artículo: 28/10/2020.

* Hemos actualizado este artículo el 4 de noviembre para incluir la nueva alerta de la Guardia Civil, fechada en noviembre.

Otros artículos de Maldita.es