Lado B
Te decimos cómo protegerte del nuevo hackeo en WhatsApp
Múltiples usuarias y usuarios de WhatsApp han reportado ser víctimas de un inusual ataque a sus cuentas, lo que puede adjudicarse a la poca seguridad de la plataforma, señala especialista
Por Daniel Cruz Cortés @DanielCortesMx
04 de febrero, 2022
Comparte

Hasta inicios de 2021, WhatsApp era la tercera red social más utilizada en todo México, de acuerdo con el portal especializado en temas de mercadotecnia digital, Hootsuite. Y, con el incremento de su uso, cada vez son más frecuentes los reportes de personas cuyas cuentas de WhatsApp han sido comprometidas. 

Generalmente, estos ataques tienen la intención de suplantar la identidad de una persona, con el objetivo de pedir dinero o información a los contactos encontrados en la cuenta vulnerada; o bien, recopilar datos enviados por mensaje a través de esa red social para usarlos con fines difamatorios.

El problema radica en que los elementos de máxima seguridad que ofrece Meta —organización que posee WhatsApp— contra este tipo de ataques, tal como el factor de autenticación de dos factores, podrían ser insuficientes ante estas nuevas formas de defraudación cibernética, advierte Mayeli Sánchez Martínez, integrante de la organización Técnicas Rudas.

En entrevista para LADO B, Sánchez Martínez aseguró que Meta, como industria responsable de la aplicación, debería hacer con urgencia un análisis forense para detectar la raíz del problema, pues desconocer a qué se está enfrentando, pone en riesgo la seguridad de las y los usuarios de esta plataforma de mensajería instantánea.

Cómo se dan los ataques

De acuerdo con Sánchez Martínez, también Maestra en Ciencias por la UNAM, en los ataques, generalmente, las víctimas detectan que llega un mensaje de texto en el que se comparte un código de seguridad. Aunque éste es muy similar a los que envía Meta cuando se intenta recuperar una contraseña olvidada, la especialista insiste en que aún se desconoce si el mensaje es, en efecto, enviado por WhatsApp, o bien, por números privados.

Una vez recibido el código, de forma inmediata llega una llamada telefónica de un número desconocido, sin que haya algún intercambio verbal. Al contestar, se obtiene acceso al código y por ende a la cuenta. Por ello, la especialista exhorta a no contestar esas llamadas, pues se ha observado en algunos casos que aunque el código no sea otorgado verbalmente, se obtiene el acceso de todas formas. Esto resulta aún inexplicable para la comunidad informática, afirma.

Mayeli Sánchez comparte a esta casa editorial que ha recibido decenas de este tipo de reportes; no obstante, asegura que esto no debería ser considerado como un patrón generalizado, pues aún falta mucho por conocer sobre estas vulnerabilidades.

“No sabemos si en todos los casos es la misma vulnerabilidad [de seguridad]. Podría haber más de una vulnerabilidad circulando y podría ser que en algunos casos se use una y en otros, otra. No tenemos suficiente información para saber si en todos los casos de robo de cuentas este ha sido un patrón. Lo único que sabemos es que a veces pasa esto”, refiere.

Lo que está en riesgo

En la gran mayoría de casos, las y los usuarios afectados reportan que su cuenta ha sido suplantada por personas desconocidas desde otros dispositivos, declara Mayeli Sánchez.

Estos ataques son alarmantes, debido a que la evidencia mostrada sugiere que, en efecto, quienes logran vulnerar esos candados de seguridad cibernética pueden acceder a la totalidad de datos (sensibles o no) que han sido enviados y guardados en las cuentas de las víctimas; estos pueden ser: contactos, mensajes de texto y contenido multimedia, establece.

El acceso a esta información puede ser de gran utilidad para los defraudadores, pues a través de los contactos obtenidos suelen pedirse depósitos bancarios a nombre de la persona propietaria de la cuenta; o bien se acumulan fotos y mensajes que pueden ser usados para chantajear y extorsionar a cambio de dinero, comparte la especialista.

Sánchez Martínez desmiente que existan pruebas de que el ataque permita a los criminales acceder a toda la información almacenada en un dispositivo móvil o computador, aún cuando se haya abierto la cuenta comprometida desde ahí. 

No obstante, de acuerdo con la experiencia observada hasta ahora, podría esperarse que todo lo que se haya transmitido por esa app de mensajería instantánea, pudiera estar en riesgo de ser extraído, pues los permisos otorgados a WhatsApp son amplios, indica. 

Dichos accesos van desde: contactos, micrófono, cámara, servicios de localización, archivos, SMS y servicio de llamadas, comparte.

Es tarea de las y los creadores hacer segura la aplicación

La Maestra en Ciencias asegura que no existe en la faz de la tierra ninguna aplicación, programa o sistema operativo, que sea imperturbable. Sin embargo, esto no significa que los ataques informáticos sean algo a lo que deberíamos acostumbrarnos, agrega. 

La tarea permanente de mantener estos espacios virtuales en ambientes seguros y protegidos contra ataques informáticos debe ser obligación de quienes desarrollan estas redes de interacción virtual y no de quienes las usan: “La construcción de estos sistemas tendría que tener, por defecto, la máxima protección que le puedes dar a [las y] los usuarios. De tal forma que la responsabilidad de proteger, no recaiga sobre el o la usuaria”, establece. 

Por ello, lamenta que Meta sea una empresa conocida por su poca ética y falta de claridad no sólo ante vulnerabilidades de seguridad, sino también sobre el manejo de los datos que posee. 

En términos informáticos, preocupa que el lenguaje de programación de esta organización esté cerrado ante la vista del público en general. En otras palabras, los códigos computacionales de seguridad usados por WhatsApp son privados, dejando una gran duda sobre los compromisos que esta organización tiene por la protección de sus usuarias y usuarios, insiste Sánchez Martínez.

Si bien el hecho de que sean abiertos no quiere decir que sean más o menos vulnerables, indica, esto permite descubrir si existen “puertas traseras” o riesgos ante la filtración de datos sensibles.

Ante los hackeos recientes, la especialista sostiene que es indispensable que la empresa tecnológica reconozca esas vulnerabilidades, para poder crear mecanismos más seguros.

Formas de contener y prevenir los ataques

Ante el panorama actual, Sánchez Martínez recomienda implementar una serie de medidas para evitar que nuestros datos personales puedan estar comprometidos.

En caso de que tu cuenta de WhatsApp ya haya sido vulnerada, Sánchez Martínez asegura que aunque las opciones son limitadas, hay algunas que pueden ayudarnos a contener el daño. 

Por ello, replica lo que el portal PROTEGE.LA compartió recientemente. Ahí, se establece que una vez que hayamos detectado actividad inusual en nuestra cuenta, lo primero que hay que hacer es avisar a nuestros contactos más frecuentes sobre lo ocurrido, de esta forma podremos prevenirles sobre posibles mensajes que sean enviados en nuestra representación.

Una vez hecho eso, deberás cerrar sesión y reingresar a tu cuenta; no obstante, si los defraudadores ya obtuvieron el código de verificación, el riesgo de perder tu cuenta para siempre crece considerablemente.

Si esto ocurre, se recomienda establecer contacto con WhatsApp, a través de sus canales oficiales, para proteger la información personal; en caso de que esto no ser favorable, la última alternativa será dar de baja nuestro número telefónico, y crear otra cuenta con uno distinto, indica Sánchez Martínez

Para prevenir ser víctima de fraude a través de esta app, Sánchez Martínez recomienda empezar a apropiarse de la tecnología. Esto quiere decir que es momento de interesarnos por conocer mejor y cuestionar las herramientas socio digitales que utilizamos a diario: “Hay que usar estas cosas, no que estas cosas nos usen (…). Se puede empezar a descubrir qué aplicación nos conviene para ciertos fines (…), [lo ideal] es empezar a jugar con la tecnología para encontrar lo que nos sea más útil”, establece. 

De esta forma podríamos empezar a desvincularnos de las plataformas populares, pero potencialmente riesgosas, tales como WhatsApp y Telegram, indica. En el mercado de aplicaciones existen otras con menos usuarios, pero con resultados más seguros que sus competidores, como Signal y Wire, comparte Mayeli Sánchez a LADO B.

Pero en caso de seguir usando WhatsApp, la Maestra recomienda adentrarnos en las opciones de seguridad que hay dentro de la app. La protección más alta que puede ofrecer la plataforma es el factor de autenticación de dos factores. Esto quiere decir que, para poder acceder a una cuenta, se requiere de por lo menos dos indicios que permitan corroborar la identidad; el primero sería validar usuario y contraseña; y el segundo es verificar un código encriptado que se envía regularmente por correo electrónico, o bien mediante la ratificación de una contraseña de seis dígitos.

Para activar esta opción es necesario ir a los ajustes de WhatsApp, después ir al apartado de ‘Verificación de dos pasos’, después se deberá elegir un PIN y un correo electrónico, y estará listo. Esto ayudará también a monitorear cuántas sesiones tenemos abiertas en otros dispositivos, y podremos cerrar las que no usemos regularmente.

Otro de los ajustes de privacidad que hay que cuidar es la visibilidad de nuestro estado y foto de perfil, pues estos deben ser observables preferentemente “únicamente para tus contactos”, asegura. Incluso, mantener nuestra aplicación y dispositivo actualizados, permitirá perfeccionar esos errores de seguridad, concluye.

“WhatsApp tiene [varias] opciones de seguridad. Vale la pena explorarlo y activar todo aquello que se considere necesario (…). Si voy a usar esta herramienta, pues voy a intentar entender cómo está funcionando¨, propone.

Sin embargo, Sánchez Martínez hace énfasis en que la forma más adecuada de alertamiento, puede ser ante la detección de comportamientos inusuales. Esto quiere decir que, debemos aprender a identificar la extrañeza de recibir un código vía mensaje, sin haberlo solicitado, y en caso de recibir inmediatamente una llamada de un número desconocido, evitar contestar a toda costa.

Comparte
Autor Lado B
Daniel Cruz Cortés
(He/Him/Él) De la Ciudad de México, pero adoptado por Puebla. Estudio Comunicación en la BUAP. Me gusta hablar, escribir, hacer radio y estar en permanente estado de aprendizaje. Me apasiona el periodismo, la comunicación política y el cambio social. Con el objetivo de mantener y defender siempre el derecho a la libertad de expresión e información.