Hay un truco que permite a los atacantes secuestrar la cuenta de WhatsApp de cualquier usuario. El método se basa en el servicio automatizado que usan los operadores de telefonía móvil para desviar las llamadas a un número de teléfono diferente, y en la opción de WhatsApp de enviar un código de verificación de contraseña de un solo uso a través de una llamada de voz.
Rahul Sasi, el fundador y CEO de la empresa de protección de riesgos digitales CloudSEK, publicó algunos detalles sobre el método.
El atacante tarda únicamente unos minutos en apoderarse de la cuenta de WhatsApp de la víctima, pero para ello necesita saber el número de teléfono del objetivo, y estar preparado para hacer algún truco de ingeniería social.
Primero debe convencer a la víctima de que haga una llamada a un número que comienza con un código MMI, que casi todos los operadores de telefonía móvil tienen configurado para habilitar el desvío de llamadas.
Estos códigos comienzan con una estrella (*) o un símbolo de almohadilla (#).
En función de la compañía, este código MMI puede desviar todas las llamadas a un número diferente, cuando la línea está ocupada o no hay recepción.
En cada país las operadoras de telecomunicaciones tienen un número de solicitud de servicio similar, por lo tanto, este truco se puede utilizar para atacar a los usuarios de todo el mundo.
Primero, la víctima recibe una llamada del atacante que, usando cualquier pretexto, le convencerá para que haga una llamada a los siguientes números:
- **67* (número de 10 dígitos)
- *405* (número de 10 dígitos).
Si el usuario cae en la trampa, en unos minutos, su WhatsApp se cerrará y el atacante obtendrá el control total de su cuenta.
Rahul Sasi explica que el número de 10 dígitos pertenece al atacante, y el código MMI que la víctima inserta delante de él, le indica al operador de telefonía móvil que reenvíe todas las llamadas al número de teléfono especificado cuando su línea está ocupada.
Por lo tanto, el usuario desviará todas las llamadas al número del atacante.
Después, el villano podrá iniciar el proceso de registro de WhatsApp en su dispositivo, eligiendo la opción de recibir una contraseña de un solo uso a través de una llamada de voz.
Tras obtener el código OTP, y registrar la cuenta de WhatsApp secuestrada en su dispositivo, puede habilitar la autenticación de dos factores (2FA), lo que evitará que el usuario legítimo recupere el acceso a su cuenta.
Aunque el método parece simple, hacer que funcione requiere un poco más de esfuerzo de lo que parece.
En primer lugar, el atacante debe asegurarse de que el código MMI reenvíe todas las llamadas, independientemente del estado del dispositivo de la víctima.
- Por ejemplo, si el MMI únicamente reenvía llamadas cuando una línea está ocupada, una inoportuna llamada en espera podría dar al traste con el secuestro.
- El dispositivo objetivo también podría recibir un mensaje de texto informando al usuario de que su WhatsApp se está registrando en otro dispositivo.
Una persona podría pasar por alto esta advertencia, o el atacante recurrir a la ingeniería social y hacer una llamada telefónica al objetivo (desde un teléfono diferente) para tener su línea ocupada el tiempo suficiente para poder recibir el código OTP de WhatsApp por voz.
La pista más clara de que está ocurriendo algo, es que cuando los operadores de telefonía móvil activan el desvío de llamadas en un dispositivo, envían una advertencia que aparece en la pantalla, y que no desaparece hasta que el usuario confirma la operación.
Incluso con esta advertencia tan clara, los delincuentes aún pueden tener ciertas posibilidades de éxito si dan con un usuario que no está familiarizado con los códigos MMI, o que ignora la opción del teléfono móvil que desactiva el desvío de llamadas.
Protegerse contra este tipo de ataques es tan fácil como estar atento a los mensajes, y activar la protección de autenticación de dos factores en WhatsApp.
Esta última característica evita que los malos obtengan el control de la cuenta, ya que WhatsApp solicitará un PIN cada vez que alguien intenta registrar la misma cuenta en otro teléfono.
