WhatsApp hackeado: cómo protegerse
WhatsApp es una aplicación de mensajería popular y fácil de usar. Tiene algunas características de seguridad, como el uso de la encriptación de extremo a extremo, que trata de mantener tus mensajes privados. Sin embargo, por muy buenas que sean estas medidas de seguridad, WhatsApp sigue sin ser inmune a los hackeos, que pueden acabar comprometiendo la privacidad de tus mensajes y contactos.
En octubre de 2019, el investigador de seguridad Awakened reveló una vulnerabilidad en WhatsApp que permitía a los hackers tomar el control de la app utilizando una imagen GIF. El hack funciona aprovechando la forma en que WhatsApp procesa las imágenes cuando el usuario abre la vista de la Galería para enviar un archivo multimedia.
Si un hacker enviara un GIF malicioso a un usuario, podría comprometer todo el historial de chat del usuario. Los piratas informáticos podrían ver con quién se había comunicado el usuario y qué había dicho. También podrían ver los archivos, fotos y vídeos de los usuarios enviados a través de WhatsApp.
Este aterrador ataque permitía a los hackers acceder a un dispositivo simplemente realizando una llamada de voz de WhatsApp a su objetivo. Incluso si el objetivo no respondía a la llamada, el ataque podía seguir siendo efectivo. Y es posible que el objetivo ni siquiera sea consciente de que se ha instalado un malware en su dispositivo.
¿Cómo hackear WhatsApp? Explotación de QRLJacking
Lo lógico sería intentar configurar de nuevo WhatsApp en tu teléfono. Introduces tu número y esperas el código de verificación. El informe sugiere que no llegará ningún código por SMS y la aplicación te dirá «Espera antes de solicitar un SMS o una llamada». Esto se debe a que tu teléfono está ahora sujeto a la misma cuenta atrás de 12 horas con oportunidades limitadas de re-verificación. «Pero de repente recuerdas que has recibido códigos de WhatsApp inesperados una o dos horas antes. Recuperas el SMS más reciente e introduces el código en WhatsApp. Pero ni siquiera esto funciona. «Has adivinado demasiadas veces», te dice tu WhatsApp. Obviamente, no has adivinado nada. Pero tu teléfono tiene las mismas restricciones que el del atacante. No puedes solicitar un nuevo código, no puedes introducir el último código, estás atrapado», dice el informe.
El problema de la arquitectura de verificación de WhatsApp es que los códigos de SMS y el soporte de correo electrónico automatizado no tienen ninguna segunda capa para comprobar la autenticidad y está muy abierto a los abusos. Los investigadores también señalan que este tipo de ataque no necesita ninguna sofisticación para ser implementado. «No hay forma de optar por no ser descubierto en WhatsApp. Cualquiera puede teclear un número de teléfono para localizar la cuenta asociada si existe. Lo ideal sería que un movimiento más centrado en la privacidad ayudara a proteger a los usuarios de esto, así como obligar a la gente a implementar un PIN de verificación en dos pasos», dijo Jake Moore de ESET a Forbes. WhatsApp simplemente se vincula a un número de teléfono y no tiene una política de dispositivo de confianza que lo vincule a un ID de dispositivo o al sistema operativo en el que se instaló y verificó por última vez.
Cómo saber que la cuenta de WhatsApp ha sido hackeada
Estas opciones de seguridad, lamentablemente, no te evitarán un hackeo grave como el que afectó al CEO de Amazon, Jeff Bezos. Lo que sí hará es ofrecer otra capa de protección si alguien consigue engañarte para que compartas tu código de seguridad, lo que es un proceso conocido como «hacking social.»
Un domingo por la mañana, con los ojos desorbitados, recibió un mensaje de WhatsApp de una amiga cercana que le preguntaba si podía reenviar un código de seis dígitos que estaba a punto de recibir por SMS. Sin pensarlo, y porque confiaba en su amiga, envió el código y, de repente, se encontró con que había salido de su cuenta de WhatsApp.
Probablemente se dio cuenta de lo que pasó. No era un código de seis dígitos cualquiera; era el código de seis dígitos que WhatsApp envía a tu número de móvil por SMS para asociarlo a tu cuenta de WhatsApp. Al compartir ese número, mi amiga había permitido inadvertidamente que el atacante entrara en su cuenta.
Como el atacante tenía ahora el control de su cuenta, pudo enviar mensajes desde ella a cualquier contacto con el que estuviera en el mismo chat de grupo. Así es como el atacante pudo pedir el código de verificación de seis dígitos de mi amiga a través del número de otra amiga; también habían obtenido el control de esa cuenta y la utilizaron para enviar mensajes a todos los contactos que pudieron, tratando de involucrarlos en la estafa.
¿Cómo mantener WhatsApp a salvo de los hackers? Siga estos consejos
Los estafadores intentan engañar a los usuarios de WhatsApp para acceder a su código de verificación de seis dígitos, que es básicamente una OTP utilizada por WhatsApp para iniciar sesión en una cuenta. Si le das a alguien tu código de verificación, tu cuenta de WhatsApp será hackeada.
El uso de la verificación en dos pasos evita que tu cuenta se vea comprometida, incluso si alguien tiene en sus manos tu tarjeta SIM o tu código de verificación. Es una capa de seguridad adicional que actúa como una contraseña para tu cuenta de WhatsApp. Sin embargo, en caso de que no utilices la función, tu cuenta podría ser hackeada en el improbable caso de que alguien consiga tu código de verificación.
Para recuperar tu cuenta de WhatsApp hackeada, tienes que volver a iniciar sesión en WhatsApp con tu número de teléfono. Recibirás un código de verificación de seis dígitos a través de un SMS que WhatsApp leerá y te conectará automáticamente. Una vez que inicie la sesión, el hacker saldrá automáticamente de su cuenta.
En caso de que el hacker active la verificación en dos pasos después de acceder a tu cuenta de WhatsApp, se te pedirá que introduzcas ese código. En este caso, tendrás que esperar siete días para recuperar tu cuenta. En particular, mientras esperas la recuperación de la cuenta, el hacker ya no puede acceder a ella.