Era cosa de tiempo. La plataforma Whatsapp, reconocida mundialmente por el uso del encriptado de punto a punto, se ha visto afectada por el surgimiento de una nueva estrategia de estafa realizada por hackers, aunque sin utilizar ningún software malicioso creado para ello.
Hace unos días, la Guardia Civil de España publicó una alerta en su cuenta oficial de Twitter en la que informaba de unos mensajes de WhatsApp que se envían con la intención de realizar una suplantación de identidad. Estos mensajes incluyen el siguiente texto: “Hola. Lo siento, te envíe un código de 6 dígitos por SMS por error. ¿me lo puedes pasar? Es urgente”.
Este mensaje llega de un conocido de la posible víctima al que ya se ha suplantado y tiene el objetivo de que se introduzca un código de verificación que servirá para instalar un malware en el móvil.
En su comunicado, la Guardia Civil española afirma que el modus operandi indica que «el atacante, una vez instalada la aplicación en un dispositivo de su propiedad, introduce el número de teléfono que se va asociar, en este caso el número de la posible víctima. Una vez introducido el número de teléfono, el sistema enviará a ese número un mensaje SMS, con un código de verificación que se debe introducir en la aplicación para verificar que se trata del usuario correcto y finalizar la instalación».
Como el hacker se hace pasar por un conocido de la víctima, existe un número no menor de usuarios que responde enviando el código, con lo que el atacante obtiene el control de la cuenta en su dispositivo y con ello accede a todos los grupos y contactos que posee la víctima.
En su nota de prensa, la Guardia Civil recuerda que «las aplicaciones de mensajería más conocidas integran varios sistemas de seguridad para evitar en lo posible ser víctimas de este tipo de situaciones», como la verificación en dos pasos, que es «una función opcional que añade más seguridad a la cuenta, haciendo que cualquier intento de verificación deba ir acompañado de un número PIN, previamente creado por el usuario y que solo él conoce».
Este tipo de intentos de estafa son más recurrentes día a día y se están perfeccionando con el objetivo de engañar a aquellos usuarios que no cuentan con los conocimientos necesarios para distinguir cuándo se trata de un mensaje real y cuándo un intento de phishing.
Los expertos recomiendan:
- No abrir ningún correo electrónico que genere desconfianza
- No entregar claves ni datos personales
- No enviar datos solicitados por contactos en los que no confiamos
- No hacer click en enlaces de fuentes desconocidas claves ni datos personales
Cada día es más necesario que los usuarios de Internet cuenten con una formación que les permita evitar malos ratos y delitos de todo tipo. Por lo pronto, si alguna vez recibes un mensaje similar, desconfía y no sigas sus instrucciones hasta asegurar que es no es una estafa. Si te suena extraño, es muy probable que busque obtener algo de forma ilegal.
Fuente: Twitter oficial Guardia Civil de España
