Los ciberdelincuentes pueden secuestrar del sistema de buzón de voz y a partir de allí apropiarse de una cuenta de WhatsApp, alertó hoy el Ministerio de Tecnologías de la Información y Comunicación (MITIC).
El atacante instala la aplicación de mensajería instantánea en su teléfono y registrar el número del celular de la víctima. Para completar el registro, WhatsApp envía un código al número proporcionado para comprobar que se trata del propietario, que puede ser con una llamada telefónica.
El ciberdelincuente se asegura de que la víctima no pueda atender su teléfono para que la llamada de WhatsApp se derive automáticamente al buzón de voz y se grave. El criminal se conecta al buzón de voz de la víctima y como ya fue secuestrado, puede acceder al mensaje de voz con el código y completar el registro para apropiarse de la cuenta de WhatsApp de la víctima.
Esto también es posible porque se aprovecha de la debilidad del mecanismo de acceso remoto que proveen la compañías telefónicas y se prueban una combinación de números estándares para descifrar la contraseña, detalló el MITIC en un comunicado de alerta de seguridad.
Recomendaciones
En primer lugar se puede directamente desactivar el servicio del buzón de voz y otra opción es cambiar la contraseña por defecto a dígitos más seguros que sean difíciles de descifrar. Se recomienda comunicarse con la compañía telefónica y seguir los pasos indicados.
También se aconseja activar la autenticación de doble factor en WhatsApp, que se encuentra en la opción “Ajustes/Configuración” de la aplicación. Luego ir a “Cuenta”, después a “Verificación en dos pasos” y finalmente marcar “Activar”.
Igualmente, es recomendable no asociar el número de teléfono a una plataforma online si no es un requisito para alguna autenticación, como evitar la divulgación del número telefónico asociado a sus cuentas en Internet.
Extorsión
Desde el MITIC se explica que generalmente los ciberdelincuentes utilizan esta modalidad para cometer otros delitos como extorsión. Es común que pidan dinero a cambio de devolverle la cuenta o amenazando con divulgar sus contenidos privados si no le envía dinero.