Rahul Sasi, CEO y fundador de CloudSEK, compañía especializada en ciberseguridad, ha alertado sobre una nueva táctica utilizada por los hackers para hacerse con las cuentas de WhatsApp de los usuarios y, por lo tanto, con las conversaciones y los contactos almacenados en la app. Este método consiste en realizar un desvió de llamadas durante el proceso de registro en el servicio de mensajería, y pese a que puede ser complicado en algunos casos, dado a que se necesita —en parte— la colaboración del usuario, los pasos se realizan en apenas unos minutos.
Según el máximo responsable de CloudSEK, los hackers solo necesitan el número de teléfono del usuario para comenzar el proceso de robo de una cuenta de WhatsApp. Estos realizan, en primer lugar, una llamada a la víctima con el fin de convencerles para que hagan una llamada a un número de teléfono específico, el cual contiene 10 dígitos y empieza, normalmente, por «*405*» o «**67*». Estos números, en realidad, son códigos que permiten el desvío de llamadas. El resto, corresponden a un teléfono que los atacantes utilizan para recibirlas.
Si consiguen que el usuario marque ese número en su teléfono y, por tanto, el desvío se activa, el resto es pan comido. Los hackers solo tienen que iniciar el proceso de registro en WhatsApp con el número de la víctima desde un dispositivo. Posteriormente, solicitan una llamada para recibir el código necesario para la activación de la cuenta, e inician sesión. El usuario, en cambio, notará como su smartphone cierra sesión en WhatsApp al activarse en otro móvil.
El CEO de CloudSEK alerta que esta táctica puede realizarse en cualquier parte del mundo, pues todos los operadores cuentan con la posibilidad de activar el desvío de llamadas. Por suerte, hay formas de protegerse ante estos ataques.
Lo más recomendable es activar la verificación en dos pasos a través de la opción disponible en la propia app de WhatsApp. Esto hará que para iniciar sesión desde cualquier dispositivo sea necesario aplicar un PIN personal. Por lo tanto, los hackers no podrán acceder a tu cuenta aunque intenten iniciar sesión mediante el código que reciben en su móvil. Por supuesto, debes de confirmar de llamadas en las que solicitan realizar este tipo de acciones, aunque aleguen que sea por motivos de seguridad.