El martes pasado la Guardia Civil española alertó a través de su cuenta de Twitter sobre un modus operandi que usan los cibercriminales para acceder e incluso robar el acceso a cuentas personales de distintos servicios. Es por eso que desde el laboratorio de ESET Latinoamérica nos pareció oportuno replicar la alerta y explicar de qué se trata para evitar que los usuarios caigan en este engaño.

Según un comunicado emitido hace aproximadamente una semana por la Guardia Civil, se trata de una campaña de suplantación de identidad que llega a través de WhatsApp y que busca el secuestro de cuentas. Todo comienza con un llamativo mensaje a través de la aplicación de mensajería o de un simple SMS a través del cual un amigo/a (víctima del engaño también) dice que, por error, un código de verificación de seis dígitos (que supuestamente no iba dirigido a ella) se envió a su teléfono y solicita que le reenvíen el mensaje con el código.

Lectura relacionada: Me hackearon WhatsApp: ¿qué hago? | ESET

Mensaje de WhatsApp que la Guardia Civil publicó a modo de ejemplo.

Dado que es un mensaje que está escrito en español, no sería extraño que comience a circular en América Latina con un texto igual o similar al que se observa en la imagen.

En este caso, como la víctima seguramente no solicitó recientemente recuperar ningún tipo de código podría llegar a creer que el mensaje es genuino y fue enviado por un contacto que sí necesita recuperar el acceso a su cuenta.

Aquí radica el problema de seguridad al que se expone la víctima, ya que los criminales detrás de este engaño lo que están haciendo en realidad es entregar el código de verificación para registrar su cuenta de WhatsApp en otro dispositivo.

Acto seguido, una vez que se reenvía el mensaje con el código de verificación de seis dígitos: el ciberdelincuente detrás de este engaño registrará WhatsApp en otro teléfono con dicho código (y el número telefónico que ya tiene porque aparece en el encabezado del mensaje recibido), mientras la víctima solo verá en su pantalla un mensaje a través del cual se informa que perdió el acceso a su cuenta (hasta aquí momentáneamente).

Mensaje que llega a la vícitma cuando los estafadores asocian su número a la cuenta en otro teléfono

Lo que generalmente ocurre en estos casos es que el cibercriminal rápidamente activará la verificación en dos pasos dentro de WhatsApp, logrando de esta manera que el usuario original e esta cuenta no pueda recuperarla.

Y es precisamente la activación de la verificación en dos pasos el mejor aliado que tienen los usuarios para evitar caer en este tipo de engaño que buscan tomar el control del servicio de mensajería más utilizado actualmente.

Cómo activar la verificación de dos pasos en WhatsApp

El procedimiento para activar de la verificación en dos pasos se realiza de la siguiente manera. Primero accedemos a la sección ajustes en la parte superior derecha de la pantalla de nuestro teléfono.

Primero accedemos a la sección ajustes en la parte superior derecha de la pantalla de nuestro teléfono.

 

Luego vamos a la sección “Cuenta”

 

Una vez dentro de “Cuenta” seleccionamos la opción "Verificación en dos pasos".

En este momento el usuario deberá elegir una contraseña de 6 dígitos, la cual será solicitada la próxima vez que se quiera registrar WhatsApp en cualquier dispositivo. Es posible que, por seguridad, cada cierto tiempo la aplicación solicite el ingreso de la contraseña para evitar lecturas no autorizadas de los mensajes.

Configuración del código Pin de la verificación en dos pasos

Como se observa, de esta manera entonces, la cuenta queda protegida asociada no solo al número telefónico que hizo la instalación, sino a una clave numérica y a una dirección de correo electrónico.

Con estas medidas adicionales, si por algún motivo el usuario desprevenido entregara la clave de registro de WhatsApp, las otras capas de seguridad impedirían que un tercero lo registrase en otro celular.

Tal como hemos mencionado en artículos anteriores, el doble factor de autenticación (en WhatsApp denominado verificación en dos pasos) sigue siendo el método más seguro para evitar accesos no autorizados a las cuentas.

Este tipo de capa de seguridad se encuentran actualmente en la mayoría de las redes sociales, como en sistemas de correo electrónico más utilizados.

Para más información recomendamos las siguientes lecturas: