“Obtienen acceso total a tu cuenta en segundos”

WhatsApp es la aplicación de mensajería instantánea más utilizado a nivel mundial. A través de ella, miles de millones de usuarios se comunican con sus contactos a diario y los ciberdelincuentes son concientes de que compartimos información privada pensamos que estamos completamente protegidos.

Las conversaciones de la plataforma están cifrados de extremo a extremo y, en teoría, los mensajes, fotos, vídeos y llamadas están ocultos desde que salen de tu dispositivo hasta que llegan al destinatario. Por eso, muchos nos fiamos y compartimos imágenes de documentos de identidad (DNI, pasaportes, carnet de conducir, etc.), contraseñas compartidas, e incluso nuestro número IBAN con familiares. Pero, ¿y si al otro lado no está un ser de confianza sino un ciberdelincuente suplantando su identidad?

Para acceder a todos estos datos, los fraudes tradicionales que daban acceso a WhatsApp consistían en la clonación de la SIM o la solicitud del código de verificación a través de un engaño. digi alerta a los lectores de su blog oficial que ha surgido un nuevo método, conocido como «emparejamiento de fantasmas«, que consiste en vincular tu cuenta a un navegador web controlado por ellos.

La última estafa de WhatsApp aprovecha una función oficial

El modus operandi del «Ghostpairing» consiste en una técnica fraudulenta basada en ingeniería social. Los ciberatacantes aprovechan una función oficial de WhatsApp para llevarla a cabo: la de vincular dispositivos a tu cuenta que se puede utilizar en WhatsApp Web o la aplicación de escritorio. «Simplemente te convencerán para que vincules tu cuenta con un navegador controlado por ellos, usando códigos legítimos que WhatsApp genera para este propósito», explican desde el operador.

Así es como «obtienen acceso total a tu cuenta» al instante para:

• Leer tus mensajes privados.
• Ver tus fotos, vídeos y documentos.
• enviar mensajes haciéndose pasar por ti.
• seguir propagando el fraude.

Al utilizar el método «Ghostpairing», la aplicación no expulsa al usuario en ningún momento de su sesión iniciada. Por esta razón, la víctima puede tardar en darse cuenta de que la están suplantando.

El engaño de WhatsApp para que inicies sesión.

Como ya hemos mencionado, los ciberdelincuentes aprovechan que acceden a cuentas ajenas para seguir difundiendo el timo. Según Digi alerta, estos envían un mensaje a través de un usuario de la lista de contactos que ya ha sido una víctima para ello. Por ejemplo: «He visto esta foto tuya, ¿eres tú?». Junto al texto, comparta un enlace que parece de una página legítima (a veces con una previsualización tipo Facebook).

Al acceder al enlace, la página solicitará el número de teléfono y, acto seguido, un código de vinculación o emparejamiento. Esta clave es la que usa WhatsApp para vincular la cuenta a WhatsApp Web oa otro dispositivo. Aunque esto parezca sospechoso, al venir desde un mensaje de un contacto de confianza, creemos que no es nada malo y, al introducir los datos, estaremos autorizando a un ciberestafador a conectar a su navegador nuestra cuenta privada.

¿Mi cuenta de WhatsApp está vinculada a un dispositivo desconocido?

Si de repente aparecen mensajes en chats que tú no has escrito o algo que te haga sospechar que en tu cuenta de WhatsApp hay un intruso, la aplicación tiene una herramienta para verificarlo y solucionarlo. Para comprobar si han hackeado tu número desde un dispositivo no autorizado, debes acceder a la configuración de la aplicación y seguir estos pasos:

• Dirígete a «Dispositivos vinculados».
• Aparecerá una lista con todos los equipos en los que hayas iniciado sesión.
• Si detecta algún sospechoso, haga clic sobre él para obtener más información.
• Si no lo reconoces, haz clic en «Cerrar sesión».