El Viernes pasado a Albert Rivera, líder de ciudadanos, le hackearon su cuenta de WhatsApp. Consiguieron entrar en su perfil, acceder a su historial de chats, y evidentemente, a su agenda de contactos. El caso es que no fueron ni mafias rusas ni un ciberataque turco. Consiguieron acceder a su cuenta de WhataApp de una manera muy sencilla. Ves con cuidado porque le puede pasar a cualquiera. Te explicamos cómo lo hicieron.
Lo que le ha pasado a Albert Rivera, ha sido un «phishing» bastante simple. Normalmente, para este tipo de suplantes de identidad, se utilizan correos falsos, imitando entidades bancarias, y con ellos te piden que teclees tu nickname y password con cualquier excusa. Muchas veces son fáciles de detectar, y cada vez es más difícil «picar» en el engaño. Pero si te llega un SMS supuestamente de la aplicación de WhatsApp, pidiéndote el código de verificación, algo habitual hoy en día en ciertas aplicaciones que requieren alguna verificación vía SMS, puedes caer en la trampa inocentemente.
Método utilizado
Sólo han necesitado saber el número de teléfono de Albert Rivera para proceder al engaño. A partir de aquí, el «hacker» se puso en contacto con WhatsApp avisando que su cuenta había sido robada, o que simplemente había perdido su contraseña y no podia acceder a su perfil. Entonces WhatsApp envía un código de verificación al número de teléfono indicado previamente vía SMS.
Hasta aquí todo es normal. Recibes el código en tu móvil, y al introducirlo en la aplicación vuelves a tener acceso a tu cuenta. La argucia consistió en que después de avisar a WhatsApp, el «hacker» envió un SMS a Albert Rivera haciéndose pasar por un servicio de autenticidad de WhatsApp, pidiéndole que le reenviara el código de activación que había recibido momentos antes.
Rivera lo encontró algo normal, creyendo que era de seguridad de WhatsApp, y envió el código. Una vez que el ciberdelincuente recibió dicho código, pudo entrar en el perfil de Albert Rivera sin problema alguno.
Sí que es cierto que se puede rastrear desde dónde se envió el SMS, pero si se hizo desde internet, o desde un móvil robado, por ejemplo, poco se puede hacer para identificar al «hacker».
Así que cuidado con los SMS de códigos de verificación. Tienes que tener muy claro dónde enviarlo.
Eso no está del todo claro porque para obtener el historial de chat tienen que estar logeado (El atacante) con el ID en donde está el backup de whatsapp. El atacante necesitaría además el ID (Sea de apple o google) y el password. Eso no es así tan sencillo, no alarmen a la gente.
WhatsApp no tiene password al menos que tengas activado la autenticación de dos factores (Lo más recomendable es activarlo). Solamente pudieron acceder al listado de contactos de Albert y también al listado de sus grupos. Recordemos que WhatsApp no almacena los mensajes en su propio servidor por lo que no es posible rescatar mensajes antiguos y/o información relevante que haya sido intercambiada.
Bendiciones querido lector.