Aunque algunos medios estén catalogando el caso como un «hackeo» no es así. El problema que ha tenido Albert Rivera recientemente con su cuenta de Whatsapp es bien distinto a eso. Se trata de un caso de phishing y de suplantación de su identidad en esta aplicación de mensajería instantánea.
La reacción de Albert Rivera fue rápida, denunciando el problema a las autoridades. Pero de no haber respondido tan rápidamente, el problema podría haber sido mucho peor. No obstante, aunque denunció rápidamente, también es verdad que cometió un error de principiante al caer en la trampa…
Phishing es una técnica de suplantación de identidad para conseguir diferentes objetivos, y aplicable a variedad de servicios. Por lo general, para conseguir acceso a ciertos servicios o sistemas, aunque en ocasiones termina derivando en otros delitos mucho peores, como robos bancarios, filtración de datos privados, etc.
Cómo funciona el sistema de credenciales de WhatsApp
La app WhatsApp usa, como otras, un sistema de acceso muy simple. Tu sesión o cuenta está asociada a un número de teléfono. Por tanto, quien tenga tu número de teléfono tendrá acceso a la sesión, contactos, mensajes de chats, etc. Lo único que la protege es un código numérico de verificación que te envían por SMS.
Cuando inicias sesión en tu app móvil al cambiar de móvil o usas algún cliente de WhatsApp para PC, lo primero que te pide es tu teléfono móvil. Una vez introducido el sistema de la app sabrá quién eres. Después, para verificar que realmente eres tú, y no otra persona que conozca tu teléfono móvil y esté intentando acceder, te solicita un código QR (en caso de ser WhatsApp web) o el envío de un código por SMS que debe leerse a través de la aplicación o del móvil.
De no estar en posesión del teléfono móvil, no podrás leer dicho código (o escanear el QR) y no podrías acceder a la cuenta. Así de simple es el sistema de credenciales de WhatsApp, pero es necesario que los usuarios conozcan su funcionamiento para no caer en la trampa, como Albert Rivera…
¿Qué no se debe hacer? Lo que hizo Albert Rivera
Lo que no se debe hacer es precisamente lo que hizo Albert Rivera. Si te preguntas cómo le secuestraron su cuenta mediante phishing, fue así de simple con su colaboración:
- El ciberdelincuente denunció a WhatsApp que el número de móvil de Albert Rivera era usurpado, es decir, como si el de Cs le hubiera robado el móvil. Por tanto, el/los atacante/s conocían el teléfono del político de Cs.
- Al hacer eso, el servicio de WhatsApp envió a Albert Rivera un SMS con un código de verificación para que validara su condición de propietario.
- Llegados a este punto, los atacantes tenían el teléfono de Rivera, pero no el código de verificación que había llegado al móvil del líder de Ciudadanos. Por tanto, el siguiente paso era hacerse con el código. Estas personas desconocidas se hicieron pasar por personal de WhatsApp y le pidieron que le enviara el código de verificación a través de un chat (podría ser también por SMS), alegando que le habían intentado robar la cuenta y que necesitaban ese código para verificar la autenticidad. Y es el error que cometió Rivera… creer que era cierto.
- Albert hizo caso y envió el código. Ahora, una vez tienen su número de teléfono y el código, ya pueden iniciar sesión y suplantar la identidad de Albert Rivera.
Albert Rivera actuó rápidamente al ver que su cuenta estaba secuestrada y denunció lo ocurrido a la Guardia Civil el pasado viernes. Ahora, la Unidad de Delitos Telemáticos de la UCO lo está investigando para intentar dar con los cibercriminales.
¿Como evitar un ataque así en tus cuentas?
El simple sentido común puede evitarte estos sustos. Albert Rivera debió saber que ni WhatsApp, ni ningún otro servicio te llama, te envía mensajes de texto, emails o inicia chats para pedirte contraseñas ni códigos de verificación ¡JAMÁS!
Esos códigos de verificación para apps como Telegram, WhatsApp y similares, o para servicios de otro tipo, cuando usas verificación en dos pasos, etc., solo los debes introducir en la propia app o servicio cuando te lo solicite. ¡Nunca enviarlo por email, por algún chat o grupo, SMS, etc.!
Del párrafo anterior se deduce también algo. Y es que si tú no has provocado el envío de este tipo de códigos, también debes sospechar. ¿Por qué te iba a llegar el código? Si te llega sin hacer nada es sospechoso y lo normal es que te estén intentando secuestrar la cuenta…
Simple y efectivo. Conociendo estos detalles, no te podrán secuestrar la cuenta como a Albert Rivera.