Después de demostrar en un artículo de 2020 la facilidad con la que cualquiera puede secuestrar tu cuenta de WhatsApp, me tomé un descanso de realizar pruebas de hacking ético con mis propias cuentas y pensé que sería divertido probar mis viejos trucos en víctimas desprevenidas (me refiero a amigos) para ver si todavía es posible secuestrar cuentas en aplicaciones conocidas. Me sorprendió lo fácil que continúa siendo.
Recientemente miré las 10 mejores aplicaciones gratuitas en la App Store de Apple y decidí apuntar a una para ver si podía tomar el control de la cuenta de otra persona. Estos experimentos no se tratan solo de demostrar la facilidad con la que un atacante puede lograr el robo de una cuenta, sino también de aprovechar la oportunidad para mostrar los métodos de prevención disponibles para que los usuarios puedan proteger todas sus cuentas.
Snapchat llamó mi atención debido a que su público objetivo son jóvenes de 18 a 24 años (aunque se cree que muchos de sus usuarios son más jóvenes). La Generación Z a menudo se considera "conocedora de la tecnología", habiendo sido la primera generación en crecer con la tecnología desde sus primeros años.
Por otro lado, a veces también son vistos como aquellos que toman el camino más fácil sin medir las consecuencias desde el punto de vista de la seguridad. Esto implica desde no configurar la autenticación de dos factores hasta compartir contraseñas con amigos. Entonces, decidí ver cómo era la seguridad en Snapchat y estudiar si se podía esquivar tan fácilmente como con WhatsApp.
Esta vez utilicé una técnica llamada "shoulder surfing", que me gusta llamar "shoulder jacking" y que implica que alguien mire por encima del hombro de otra persona sin que la misma lo note para robar su información confidencial, como contraseñas, clave PIN o códigos de confirmación. Esta técnica simple y efectiva sigue siendo un gran problema con las redes sociales y otras cuentas, pero ¿podría alguien usarla para secuestrar su cuenta de Snapchat?
El experimento
No tengo una cuenta de Snapchat, pero algunos de mis amigos sí. Necesitaba una cuenta para probar y, como era de esperar, me gusta pedir permiso a mis colegas primero. Mi amiga, a quien llamaré "Elle", estaba realmente interesada en mi hipótesis, así que cuando le pregunté si podía intentar comprometer su cuenta de Snapchat, ella aceptó en nombre de la conciencia cibernética, siempre y cuando no publicara nada de su cuenta, ¡si tuviera éxito!
Ofreciéndome a pagar el almuerzo de Elle a cambio de que me permitiera realizar mis pruebas, algunos de nosotros salimos a almorzar a Bournemouth. En la mesa, estaba sentado junto a Elle y ambos estábamos usando nuestros teléfonos a pesar de que manteníamos una conversación. Anteriormente había instalado Snapchat en mi teléfono, pero aún no había configurado o iniciado sesión en una cuenta. Abrí la aplicación en mi teléfono y vi la siguiente pantalla para iniciar sesión. La misma tiene el enlace favorito de todo hacker justo en el centro y destacado: "¿Olvidó su contraseña?".
Este es a menudo el primer puerto de escala para cualquiera que intente secuestrar una cuenta para probar la seguridad y los posibles métodos de entrada. Hice clic en "¿Olvidó su contraseña? " y la aplicación me pidió que eligiera cómo quería restablecer la contraseña. Las opciones eran "vía teléfono o vía correo electrónico". Elegí a través del teléfono y luego la app me solicitó un número de teléfono.
Con Elle con su teléfono en la mesa, procedí ingresando su número de teléfono y luego esperé ansiosamente a su lado ese momento para "mirar por encima de su hombro" el código de confirmación. Mientras ella miraba su teléfono en una conversación de chat, el código de confirmación llegó como una notificación desplegable en la parte superior de la pantalla de su iPhone y pude rápidamente leer el número de seis dígitos y recordarlo.
Pensé que en esta etapa ella se había dado cuenta, pero simplemente ignoró la notificación y continuó enviando mensajes a un amigo. De hecho, cuando le conté más tarde lo que había hecho, dijo que ni siquiera notó el mensaje de Snapchat, ya que recibe "muchas notificaciones".
Ingresé el código de confirmación en mi teléfono e inmediatamente la app me solicitó que agregara una nueva contraseña. Ingresé: "JakeIsAwesome.1". Parecía una buena opción, por lo que tendría que escribirla para recuperar su cuenta más tarde. En esta etapa, todo era tan fácil como lo había sido en mi experimento anterior para tomar el control de una cuenta de WhatsApp, pero Snapchat tenía una capa adicional de seguridad para permitir controlar completamente la cuenta.
Aunque no pidió una contraseña (presumiblemente debido a que pudo crear una cuenta sin correo electrónico y nombre de usuario), esta capa de seguridad adicional fue otro código de confirmación, el cual fue enviado a su número de teléfono nuevamente por mensaje de texto. Si bien no estaba listo para esto al no haberlo predicho, aun así pude ver nuevamente el SMS caer en las notificaciones de Elle mientras ella todavía estaba con su teléfono en la mano (y también sin ser consciente). Con este código sí obtuve el acceso a su cuenta y tomé el control total, incluso logre bloquearla de la cuenta en su propio teléfono.
Le había prometido que no publicaría nada ni contactaría a sus amigos, pero mi prueba de concepto había funcionado. Esto se completó fácilmente con solo conocer su número de teléfono y poder estar a poca distancia de su teléfono celular. Los usuarios de Snapchat deben ser conscientes de que sus cuentas están en riesgo en caso de que alguien a su alrededor quiera hackearlas y posiblemente incluso mantener el acceso a sus cuentas para solicitar un rescate.
Llevando esto un paso más allá, creo que este ataque podría incluso realizarse de forma remota si un atacante mediante ingeniería social decidiera llamar telefónicamente a la potencial víctima y lograra persuadirla para que entreguen los códigos de confirmación a través de una llamada de voz. Esta es una práctica que hemos visto crecer ya que la gente falla a la hora de tomar las debidas precauciones.
Si la única opción hubiera sido verificar la cuenta por correo electrónico, este experimento habría sido casi imposible. Esto habría significado que necesitaría que Elle hiciera clic en el correo electrónico que se le envió y luego clic en el enlace dentro del mensaje; dos cosas que supongo que no habría hecho. El mecanismo de recuperación de contraseñas de Snapchat, utilizando un código enviado a través de un servicio de mensajería no cifrado que aparece en el panel de notificaciones del teléfono, simplemente abre un vector de ataque que es mucho más fácil de explotar.
¿Cómo puedes recuperar tu cuenta de Snapchat?
Recuperar una cuenta de Snapchat que ha sido robada no siempre es fácil. Todo depende de los cambios que el atacante haya hecho en la cuenta. Si solo ha cambiado la contraseña, puedes recuperar tu cuenta siguiendo los mismos pasos que explicamos más arriba.
Sin embargo, si han cambiado el número de teléfono, la dirección de correo electrónico o han activado la autenticación de dos factores, las opciones son muy limitadas y, como sucede con la mayoría de las redes sociales, es difícil comunicarse con estas empresas y obtener ayuda para recuperarse de tales ataques. Si crees que tu cuenta se ha visto comprometida, Snapchat tiene este consejo para ti.
¿Cómo puedes proteger tu cuenta de Snapchat?
Más allá de utilizar una frase como contraseña que sea fuerte y única (debes usar una distinta en todas tus cuentas en línea), asegúrate de activar la autenticación de dos factores (2FA) dentro de la configuración de Snapchat, así como de implementarla en todas las demás aplicaciones que la ofrecen. En Snapchat, dirígete a configuración y encuentra la opción autenticación de dos factores: si bien está bien usar 2FA basada en SMS, es mucho mejor usar una aplicación de autenticación, como Microsoft Authenticator o Google Authenticator.
Es posible que no tengas una cuenta de Snapchat, pero es posible que conozcas a alguien que sí tenga. Por favor, asegúrate de que esos usuarios conozcan este modus operandi para secuestrar cuentas e invítalos a aplicar este consejo en todas sus cuentas en línea.
La mejor forma de evitar que alguien espíe por encima de tu hombro es estar atento al ingresar información confidencial en una aplicación o sitio web, especialmente en lugares públicos. Y más seguro aún es desactivar la vista previa de las notificaciones para que estén ocultas de miradas indiscretas cuando tu teléfono esté bloqueado. Además, asegúrate de monitorear activamente tus mensajes SMS cuando use tu teléfono o tableta con otras personas, esto también es lo que habría frustrado mi ataque a la cuenta de Snapchat de Elle.