65ymás
La Guardia Civil de Navarra (@guardiacivil) ha tenido conocimiento de una posible campaña de suplantación de identidad a través de la aplicación de mensajería móvil WhatsApp. En las denuncias se manifestaba que habían recibido un mensaje en su teléfono móvil a través de esta aplicación de mensajería, en el cual un amigo/a le decía lo siguiente “Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, puedes pasar a mí por favor? es urgente”.
El modus operandi de esta apropiación o suplantación sería el siguiente: el atacante, una vez instalada la aplicación en un dispositivo de su propiedad, introduce el número teléfono que se va a asociar, en este caso el número de teléfono de la posible víctima.
Una vez introducido el número, el sistema le enviará un mensaje SMS, con un código de verificación que se debe introducir en la aplicación para verificar que se trata del usuario correcto y finalizar la instalación.
El atacante tras hacerse pasar por un conocido de la víctima, al que previamente ya habría suplantado o tomado el control de su cuenta, le envía un mensaje pidiéndole que le reenvíe un SMS con un código numérico que necesita y que le habría enviado por error.
El SMS que le solicita el atacante a la víctima es el mensaje que envía la app con el código de verificación para la instalación de la aplicación. Si la víctima cae en el engaño y se lo facilita, este obtiene el control de la cuenta en su dispositivo y con ello el acceso a todos los grupos a los que pertenezca la víctima, así como el acceso a todos sus contactos.
Actualmente, las aplicaciones de mensajería más conocidas integran varios sistemas de seguridad para evitar en lo posible ser víctimas de este tipo de situaciones, como puede ser la “verificación en dos pasos”, que es una función opcional que añade más seguridad a la cuenta, haciendo que cualquier intento de verificación deba ir acompañado de un número PIN, previamente creado por el usuario y que solo él conoce.
Desde Guardia Civil instan a la población a que se familiaricen con estos sistemas de seguridad para utilizar estas herramientas de comunicación de forma segura.
Recomendaciones
Conviene tener siempre muy presentes las recomendaciones procedentes de la Oficina de Seguridad del Internauta para aprender a detectar este y otro tipo de estafas:
- Aunque el usuario conozca el destinatario de un determinado mensaje, debe poner especial cuidado en no enviar información confidencial o que pueda comprometerle, ya que nunca podrá saber lo que hará con ella el receptor.
- Las mismas precauciones que se deben tener con los contactos personales que tenga en la app, hay que tenerlas también con los grupos, ya que en muchas ocasiones el usuario no conoce a todos los miembros que lo componen.
- También puede suponer un riesgo seguir enlaces recibidos sin reparar en el sitio al que apuntan, ya que la web destino a la que se accede puede infectar el dispositivo con un virus, o robar los datos personales si la página de destino suplanta la identidad de una organización con un phishing, una técnica de engaño que utilizan los piratas informáticos para robar datos personales y bancarios a través de la web falsa de alguna institución oficial como la Agencia Tributaria, nuestro banco o cualquier empresa o tienda que consideraríamos de total confianza.
- Es recomendable no abrir ningún archivo recibido a través de WhatsApp o que se haya descargado inmediatamente tras acceder al link de una página web, ya que podría ser un archivo malicioso. Por suerte, no vale con descargar el virus, el móvil se infectará solo al instalar la aplicación, algo que es poco probable realizar de manera involuntaria.
- Las falsas promociones de vales descuento también se están convirtiendo en un problema. Su único objetivo es recopilar información personal engañando a los usuarios con una falsa promoción.
- También hay que tener cuidado con las funcionalidades extra que algunos usuarios promocionan por WhatsApp o por las redes sociales. A diferencia de los vales descuento, estas falsas actualizaciones generalmente buscan suscribir a las víctimas a servicios de mensajería Premium.