Cabecera-v2-web.jpg

Cuidado con los mensajes de verificación de Whatsapp


Recientemente han aparecido varios reportes de personas cuyo Whatsapp ha sido "secuestrado" por otra persona. Es decir, otra persona ha registrado el número telefónico de la ví­ctima en la aplicación Whatsapp en otro teléfono. De esta manera, el atacante logra acceder a la sesión de Whatsapp de la ví­ctima, pudiendo leer y enviar mensajes en nombre de la ví­ctima, acceder a sus grupos, etc. Como Whatsapp solo permite una sesión ví­a aplicación en simultáneo, la ví­ctima pierde el acceso a Whatsapp en su teléfono.

Cómo ocurre esto? En realidad, se trata de ingenierí­a social a través del mecanismo de verificación del propio Whatsapp: una persona malintencionada instala Whatsapp en algún teléfono y al momento de introducir el número de teléfono, introduce el número de la ví­ctima a la que quiere "secuestrar" su sesión. Whatsapp enví­a un SMS de verificación al número de teléfono de la ví­ctima. El mensaje se ve de la siguiente manera:



El registro no se completará hasta tanto el criminal haya introducido el código correcto. Sin embargo, Whatsapp también nos da la posibilidad de, en vez de introducir el código, hacer click en el enlace de verificación, mediante el cual el código se confirmará automáticamente en el teléfono que haya registrado el número.
Es decir, si la ví­ctima desprevenida hace click en el enlace, en realidad, está permitiendo al atacante registrar su propio número, quien de esta manera podrá "secuestrar" el Whatsapp de la ví­ctima.

Estrictamente hablando, no se trata de una vulnerabilidad de Whatsapp, sin embargo sí­ se podrí­a cuestionar el hecho de que el SMS de verificación no sea más explicativo y no incluya algún mensaje como "si no ha sido Ud. quien ha solicitado el registro, ignore o reporte este SMS".

Whatsapp, en su FAQ nos aclara que, en caso de no haber solicitado el código, se debe a que alguien "accidentalmente" ha introducido nuestro número y que debemos ignorarlo. https://faq.whatsapp.com/it/30035737/?lang=es

Este consejo es válido también para cualquier otro servicio en el que al momento del alta, se verifica mediante SMS, correo electrónico u otro medio: si uno no se ha dado de alta recientemente, no ha solicitado código de verificación y recibe un mensaje con un código o enlace de verificación, nunca se debe compartir ese código con nadie ni hacer click en ningún enlace, ya que de esta manera estarí­amos completando el proceso de alta del atacante.

Para reforzar la seguridad en Whatsapp, utiliza autenticación de doble factor. Para activarlo, ingresa a Ajustes > Cuenta > Verificación en dos pasos y sigue las indicaciones.



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11