El robo de identidad y las estafas en línea se han convertido en una amenaza constante en la era digital. Un caso reciente que ilustra la gravedad de este problema involucra a una mujer de 52 años que fue víctima de un usurpador mientras esperaba para tomar un avión desde Estados Unidos a España.
En medio de su trabajo, la víctima recibió un mensaje aparentemente de una amiga, solicitando un código de verificación para WhatsApp. Sin sospechar nada, la mujer compartió el código, solo para encontrarse con que su cuenta de WhatsApp había sido bloqueada.
Este incidente es una advertencia alarmante sobre el crecimiento y la sofisticidad de los ciberataques. Las variantes de estos ataques son infinitas y muchos de ellos pueden ser increíblemente difíciles de entender y prevenir. Sin embargo, al analizar este caso en particular, podemos obtener una visión más clara de cómo ocurre un escenario de este tipo y qué acciones se pueden tomar para evitarlo o minimizar su impacto.
Lo más intrigante de este incidente es la forma en que el estafador se comunicó con los contactos de la víctima. Los mensajes parecían auténticos, utilizando las mismas palabras y estilo de comunicación de la víctima. Esto ha llevado a la especulación de que los atacantes podrían haber utilizado un software de inteligencia artificial, como ChatGPT, para automatizar los mensajes. Sin embargo, Martín Vigo, fundador de Triskel Security, considera que es poco probable.
Según Vigo, el proceso probablemente se hizo a mano, utilizando la técnica de copiar y pegar. Al controlar el WhatsApp de la víctima, el estafador podría haber revisado los mensajes anteriores de la víctima para obtener una idea de cómo se comunica. Luego, simplemente copiaron y pegaron el saludo y el cuerpo del mensaje desde el bloc de notas.
Para evitar ser víctima de estafas como esta, es esencial establecer un código de palabra o hacer preguntas que solo la persona en cuestión pueda responder. Además, pedir un mensaje de audio o escribir a alguien que esté con la víctima en ese momento puede ser útil.
El hecho de que el usurpador haya logrado acceder a la cuenta de WhatsApp de la víctima en primer lugar es una parte vital de la estafa. A diferencia de las redes sociales convencionales que requieren un nombre de usuario y una contraseña, en WhatsApp, el identificador es el número de teléfono y puede registrarse con un código de seis dígitos que se envía a ese número. Una vez que los estafadores obtienen el número, solo necesitan obtener el código.
En este caso, el estafador utilizó el número de la víctima para acceder a otros números. Usando el nombre y número de la víctima, el estafador solicitó el código de seis dígitos a sus amigas, quienes se lo dieron sin dudar. Esto permitió a los criminales ampliar sus opciones y potencialmente acceder a más víctimas.
El robo de cuentas de WhatsApp puede realizarse de varias formas. Vigo ideó un método en 2018 para hackear el buzón de voz y obtener el código de WhatsApp que se envía por llamada en lugar de por mensaje de texto. Este ataque se ha utilizado ampliamente en Brasil para acceder a cuentas de WhatsApp, incluso las de políticos.
Otro método de automatización implica ingeniería social, donde los estafadores envían un mensaje diciendo que se han equivocado y han enviado el código a la víctima por error. Este método puede ser efectivo si se tiene una lista de números de teléfono para atacar.
Finalmente, las cuentas de WhatsApp también pueden ser robadas a través de sitios web falsos que solicitan una autenticación doble, o simplemente dejando la versión web de WhatsApp abierta en un lugar público.
