Meta es consciente de que WhatsApp es la vía de entrada de los hackers hacia los datos de muchos usuarios. Las últimas medidas de la compañía para evitar las estafas se suman a novedades que se llevan planteando años y que añaden un plus de versatilidad.
La empresa de Mark Zuckerberg ha anunciado ahora una capa más de seguridad para WhatsApp: un sistema que evita las típicas estafas que intentan que la víctima vincule su cuenta de WhatsApp a dispositivos ajenos haciéndose con el código de verificación.
A partir de ahora, WhatsApp lanzará una advertencia al usuario cuando reciba una solicitud de vinculación sospechosa. El nuevo mensaje avisará a la potencial víctima de que está siendo objeto de una estafa.
Adiós a las estafas
La propia Meta cita en un comunicado una estafa que ha ido apareciendo en los últimos meses referente a WhatsApp: la estafa de “vota por mi hijo”. Es una campaña de phishing basada en la ingeniería social más básica, pero con una gran escala.
El usuario recibe un mensaje inofensivo a través de WhatsApp. No proviene de un número desconocido, sino de un contacto de confianza; un amigo, un compañero de trabajo, un familiar, etcétera.
Estafa Vota por mi hijo
El Androide Libre
El mensaje, aunque puede variar, suele pedir al interpelado si podría votar por su hijo en un concurso. Un ejemplo sería el siguiente: “¡Hola! ¿Podrías votar por favor por Adeline en este concurso? Es la hija de una amiga muy cercana”.
El texto puede cambiar poderosamente, pero la idea es la misma. Se redirige a la víctima a una web fraudulenta que intenta parecer lo más legítima posible gracias a un acabado muy sofisticado.
A la hora de votar, la web pide al usuario su número de teléfono y un código de verificación de WhatsApp que se envía por SMS. La apariencia profesional de la web y el diseño de la misma ayudan a que la víctima se sienta confiada.
De forma simultánea, los ciberdelincuentes han iniciado un proceso de registro de la cuenta de WhatsApp de la víctima en un nuevo dispositivo. El código no sirve para validar ningún voto, sino que es el código de verificación que WhatsApp envía para enlazar la cuenta a otro dispositivo.
Ventana falsa en un ejemplo de Meta.
Omicrono
Es decir, que la víctima de la estafa le está dando acceso directamente a su cuenta de WhatsApp. En cuestión de segundos, los atacantes obtienen todo el control de la cuenta y la desconectan de su dispositivo.
Poniendo esta misma estafa de ejemplo, Meta detalla en su comunicado la forma en la que WhatsApp avisará a la víctima de esto, antes de que introduzca el código en la web fraudulenta.
WhatsApp lanzará un aviso al usuario “cuando las señales de comportamiento sugieran que una solicitud de vinculación podría ser sospechosa”. Dichas alertas no se limitarán a mostrar un aviso a pantalla completa; añadirán información vital.
Las alertas mostrarán de dónde proviene esta solicitud y te advertirán de que podría ser una estafa, añadiendo un botón que cancela el proceso de enlazado. El objetivo es que el usuario vaya sobre aviso y no introduzca el código de verificación.
Interfaz de la web fraudulenta
El Androide Libre
“Si continúas el enlazado, un dispositivo en [Lugar del dispositivo[ tendrá acceso a tu cuenta de WhatsApp. Cualquiera en ese nuevo dispositivo podrá ver tus chats recientes y enviar mensajes desde tu cuenta”, rezará el mensaje.
Obviamente, el proceso de enlazado solo se cancela si el usuario así lo quiere. Se mostrará justo antes de que el usuario tenga que añadir este código de seguridad. El dueño de la cuenta tiene la libertad total para seguir con el procedimiento si así lo desea.
