Los atacantes simulan ser un contacto en la agenda para pedir un código con el que acceden al teléfono de sus víctimas.
Un nuevo episodio de inseguridad tiene como protagonista a WhatsApp, la app de mensajería más popular a nivel mundial. Conocida como la “estafa de los seis dígitos”, consiste en un fraude que los piratas informáticos tejen con técnicas como suplantación de identidad y crackeo, es decir, interviniendo el dispositivo de sus víctimas.
Según cuentan en el sitio Xataka, los usuarios afectados reciben un mensaje que aparece en pantalla con el número de uno de los contactos de su agenda. Eso sirve para que los atacantes generen confianza en su “presa” y avancen hacia el siguiente paso: piden que se comparta un código con seis cifras que enviaron por error.
Una de las características de este fraude es que los ataques se encadenan: con dicho código, los delincuentes se apoderan de la cuenta de WhatsApp de un usuario y comienzan a escribir ese mismo mensaje a los contactos de esa cuenta.
Por lo demás, una vez que los cibercriminales consiguen apoderarse de una cuenta pueden avanzar hacia otras acciones fraudulentas, también basadas en la suplantación de identidad, involucrando robo de datos e incluso de dinero (más allá de que aún WhatsApp no incluye transacciones en la mayoría de los mercados en los que opera).
Qué es el código de seis dígitos
En concreto, aquella es una medida de verificación que WhatsApp utiliza al momento de registrar una cuenta con un número telefónico. El código se envía a través de una notificación (mensaje de texto) y es importante no compartirla con nadie.
En tanto, si recibís esa notificación vía SMS sin haberla solicitado, algún intruso ingresó tu número de teléfono y pidió que se envíe el código. En esta estafa, el atacante necesita aquellas cifras para, finalmente, apoderarse de la cuenta. Como decíamos, el artilugio de los piratas es solicitar dicha información desde un número que nos resulta familiar y, así, conseguir la confianza de sus víctimas.
En caso de caer en las redes de esta trampa hay que contactar a WhatsApp para dar aviso del fraude. Una vez recuperada la cuenta, es fundamental activar la verificación de dos pasos para evitar posibles ataques futuros.
“Estas actuaciones suelen estar fuertemente automatizadas. Suelen ser bots que se comunican con la API de WhatsApp para ir solicitando la recuperación, para no ir número por número de manera manual, razón por la cual en ocasiones llega a perfiles de los que parece que no se va a poder obtener nada”, explicó a la fuente mencionada Sergio Carrasco, abogado experto en derecho al olvido y ciberseguridad.