A través de nuestro chatbot de Whatsapp +34 644 22 93 19 nos habéis preguntado por diferentes contenidos que aseguran que nuestra cuenta de WhatsApp puede ser hackeada con un simple gesto: una llamada por parte de los estafadores. Es lo que se conoce como la técnica del ‘buzoneo’, y su funcionamiento sería el siguiente.
Los estafadores ingresarían nuestro número de teléfono en WhatsApp, y solicitarían el código de verificación (necesario para iniciar sesión) a través de la opción de llamada telefónica, en lugar de código por SMS. Si no contestamos a esta llamada, el código de verificación sería enviado a nuestro buzón de voz, al que accederían los estafadores para hacerse con la llave que les permitiría adueñarse de nuestra cuenta.
Nos lo explica en detalle Iván Forcada, licenciado en Telecomunicaciones, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. “WhatsApp no envía el código mediante llamada salvo que lo pidas. No obstante, desde el punto de vista de un atacante que te quiere robar la cuenta, basta con iniciar el proceso en WhatsApp, introducir el número de teléfono de la víctima y seleccionar el envío del código mediante llamada”, detalla el experto.
Los timadores solo necesitarían conocer nuestro número y la clave de acceso a nuestro buzón de voz
En este momento, si nuestro teléfono no está disponible, esta llamada con el código de verificación sería, en teoría, desviada al buzón de voz. En este punto Forcada señala que los timadores necesitarían conocer nuestro operador, “una información fácilmente obtenible en Internet”, y un número para acceder a este servicio de buzón de voz, que dependerá de cada operadora y que es de dominio público.
“Cada operador tiene su número de acceso a los buzones de voz desde teléfonos ajenos al operador. Es decir, no es que el buzón de voz se redirija a un número, sino que todos los operadores proporcionan un número de teléfono para acceder a tus mensajes”, asegura el experto, que incide en que “ese número es público y el mismo para todos los clientes”.
Por ejemplo, en el caso de Vodafone los teléfonos que pertenezcan a esta operadora tendrían que marcar el 221199, y si son externos al 607 177 177, seguido del número móvil y el símbolo #, junto a su contraseña y el símbolo #.
Son las posibles vulnerabilidades de este buzón de voz la que los timadores aprovecharían para acceder a nuestro código de verificación, señala Forcada. “Depende de cómo asegure el buzón cada operador. Si la seguridad es pobre, claro que es posible. Puede que algún operador tenga un PIN por defecto. Si no lo cambias, tu buzón es vulnerable”, señala el experto.
Los expertos recomiendan desactivar el buzón de voz si no se usa y protegerlo con contraseñas fuertes
Santiago Casteleiro, maldito e informático experto en técnicas de hacking, también señala que “los timadores podrían acceder al buzón de voz de un teléfono si logran conocer o adivinar el código de acceso al buzón de voz”, y que para ello no es necesario ocupar la línea o que el teléfono no esté disponible. “Los timadores pueden intentar realizar el buzoneo en cualquier momento, siempre y cuando tengan acceso al número de teléfono de la víctima”, incide.
Forcada señala también otras vulnerabilidades, por ejemplo contraseñas fáciles de adivinar o a la falta de mecanismos para evitar que un bot fuerce esta contraseña, por ejemplo probando todas las combinaciones de 4 dígitos. Algunas operadoras como Vodafone exigen que el usuario ponga una contraseña propia con algunas restricciones, por ejemplo, que no coincida con su número de teléfono y sea diferente a 0000 y 1234.
Forcada da una serie de consejos sobre cómo evitar este tipo de timo:
- Desactivar el buzón de voz si no lo necesitas: desde Maldita.es ya os explicamos cómo podemos utilizar los códigos USSD para deshabilitar esta opción.
- No utilizar códigos PIN triviales (1111, 1234...) o que coincidan con algún otro dato personal (año de nacimiento, matrícula del coche, etc.).
- Buscar un operador que no permita un PIN por defecto e incluso que te obligue a cambiarlo cada cierto tiempo.
- Buscar un operador que te permita bloquear el acceso al buzón desde un móvil ajeno o desde el extranjero.
- Buscar un operador que bloquee el acceso al buzón en caso de tres o cuatro intentos fallidos al introducir el PIN.
En este artículo han colaborado con sus superpoderes los malditos Iván Forcada y Santiago Casteleiro Castro.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
