WhatsApp es un canal cada vez más importante con el que conectarnos con el mundo, lo que constituye todo un incentivo para que ciberdelincuentes de todo pelaje traten de suplantarnos en esta plataforma, usualmente, robándonos las cuentas. El timo del código de seis cifras es un ejemplo perfecto de ello.
Sin embargo, otros los métodos usados con este fin y que ya han sido identificados por los expertos en ciberseguridad es la técnica del «buzoneo», que explota vulnerabilidades tanto del sistema de verificación de WhatsApp como del buzón de voz de nuestros teléfonos móviles.
-¿Qué es la técnica del buzoneo?
La técnica del buzoneo es un método utilizado por los ciberdelincuentes para robar cuentas de WhatsApp aprovechando cualquier vulnerabilidad en el sistema de autenticación a través del buzón de voz de un teléfono móvil. No todos los usuarios son vulnerables a este ataque, y no todos los vulnerables lo son de la misma manera.
-¿Cómo funciona el buzoneo?
El «buzoneo» se basa en obtener el código de seguridad de WhatsApp dirigido a un usuario, pero desviado a su buzón de voz. Los atacantes primero instalan WhatsApp e intentan acceder usando el número de la víctima. WhatsApp ofrece dos métodos para enviar un código de verificación: por SMS o mediante una llamada telefónica con una locución que proporciona el código.
En este caso, los atacantes elegirán la opción de llamada telefónica. El objetivo principal de los atacantes es que la llamada con el código de verificación vaya al buzón de voz de la víctima, en caso de que esté activado.
Si la llamada de verificación se desvía al buzón de voz durante la noche, durante una llamada en curso o cuando el teléfono está apagado, pueden intentar acceder a este buzón de forma remota y obtener así el código necesario para activar WhatsApp en un nuevo dispositivo.
Por lo general, los buzones de voz están protegidos por un PIN de cuatro dígitos, pero muchos usuarios no cambian el PIN predeterminado, que a menudo es fácil de adivinar, como «0000» o «1234». Si los atacantes logran adivinar el PIN, podrán escuchar el mensaje con el código de verificación de WhatsApp y acceder a la cuenta de la víctima, que perdería el acceso a su propia cuenta de WhatsApp en su dispositivo habitual.
-Vulnerabilidades en las operadoras españolas
Algunos operadores de telefonía móvil han contribuido y/o contribuyen involuntariamente al éxito de esta clase de ciberataques:
- Por ejemplo, hasta hace pocos meses, las marcas del grupo MásMóvil permitían el acceso al buzón de voz sin necesidad de un PIN si la llamada se originaba desde la línea del cliente. El problema es que esa medida de seguridad era fácilmente eludible recurriendo a técnicas de «spoofing», que falsean el ‘caller ID’ de la línea. Desde la operadora nos confirman que este método de ataque se detectó a comienzos de 2022, «y efectivamente pusimos en marcha todas las medidas necesarias y quedó solucionado en fechas posteriores».
- Por otro lado, Movistar permite resetear la clave del buzón a través de su servicio de atención al cliente por WhatsApp, exigiendo tan sólo el DNI y el nombre del cliente. Tras eso, el PIN quedaba establecido de nuevo en el código por defecto: ‘1234’. El problema radica en que ambos datos son relativamente fáciles de conseguir por muchos cibercriminales, recurriendo a filtraciones masivas de datos disponibles en la Deep Web.
-¿Cómo evitar el buzoneo en WhatsApp?
Para contrarrestar esta técnica, WhatsApp ha implementado recientemente una medida que requiere que el usuario presione una determinada tecla antes de recibir el código de verificación en las llamadas. Al requerir que el usuario presione dicha tecla, WhatsApp se asegura de que la llamada esté siendo atendida activamente por una persona y no simplemente redirigida a un buzón de voz.
Sin embargo, los expertos sugieren adoptar también medidas adicionales de autoprotección para proteger tu cuenta de WhatsApp contra esta técnica de buzoneo:
- Cambiar el PIN del buzón de voz: Si tienes activado el buzón de voz, asegúrate de cambiar el PIN de seguridad predeterminado por uno más seguro. Puedes hacerlo contactando a tu operador, a través de la web oficial de tu cuenta o llamando al buzón de voz.
- Activar la verificación en dos pasos de WhatsApp: Esta es una medida adicional de seguridad que te permite configurar manualmente un código de seis dígitos para activar WhatsApp en un nuevo dispositivo. Evita, eso sí, recurrir a patrones como fechas de cumpleaños o información personal que los atacantes puedan adivinar para obtener así acceso a tu cuenta.
- Desactivar el buzón de voz si no lo utilizas: Si no utilizas tu buzón de voz, considera la opción de desactivarlo por completo.
- Buscar operadores con medidas de seguridad adicionales: Al elegir un operador de telefonía móvil, investiga si ofrecen medidas de seguridad adicionales, como bloqueo de acceso al buzón desde un móvil ajeno o desde el extranjero, o si requieren cambiar regularmente el PIN del buzón de voz.