El presidente de Ciudadanos, Albert Rivera, denunció que su cuenta de WhatsApp había sido hackeada mediante un mensaje de texto recibido a través de esta aplicación de mensajería que le pedía que verificase su identidad.
Se trata de un ejemplo de ataque de tipo 'phishing' que se caracteriza por intentar adquirir información confidencial de forma fraudulenta, como explica en declaraciones a Europa Press el director técnico de Check Point en España y Portugal, Eusebio Nieva.
Este es uno de los ataques "más extendidos" que, aunque normalmente actúa a través del correo electrónico, "en este caso se ha puesto el foco en WhatsApp", matiza Nieva. El servicio de mensajería WhatsApp se presenta como "la puerta de acceso a una gran cantidad de información", desde el historial de conversaciones o el listado de contactos hasta grabaciones de voz, fotografías o vídeos
Un ataque de 'phishing' busca acceder a la información del usuario a través de la suplantación de la identidad de una fuente legítima. "Lo que ha ocurrido es que Albert Rivera ha recibido un SMS comentándole que se había detectado supuestamente un intento de intrusión a su cuenta de WhatsApp, y diciéndole que recibirá un código que tendría que reenviar a otro teléfono".
Cuando la víctima recibe este segundo mensaje con el código y sigue los pasos que se le indican, "el cibercriminal ya tiene libertad de acceder a su cuenta, bloqueando el acceso de la víctima al cambiar las credenciales".
Si bien el acceso a información personal suele ser lo que motiva al cibercriminal para lanzar un ataque de tipo 'phishing', Nieva señala que "debido a que está suplantando la personalidad del verdadero usuario y propietario de la cuenta de WhatsApp" el cibercriminal también "podría mantener conversaciones con otras personas haciéndose pasar por la víctima".
La prevención es, a juicio del directivo de Check Point, "el pilar básico para evitar caer en este tipo de engaños". "La mejor forma de evitar ser víctima de ciberataques reside en adelantarse a estas posibles amenazas y utilizar nuestro 'smartphone' con precaución", asegura.
No siempre es fácil, pero prestar atención a los detalles puede ayudar a ahorrar más de un disgusto, como fijarse en la hora de recepción del mensaje, desconfiar de cualquier enlace adjunto y, sobre todo, de aquellos mensajes que exigen hacer algo de forma urgente.
Otra forma de evitar este tipo de ataque pasa por implementar medidas de verificación en dos pasos, que ayudan, sobre todo, a proteger la copia de seguridad ('backup') que se almacena en la nube y que, como explica Nieva, no cuenta con la protección del cifrado de extremo a extremo que sí tienen las conversaciones en WhatsApp.
"Para dificultar el acceso al 'backup', es muy recomendable incorporar medidas de verificación de identidad de dos pasos a través de huella digital o códigos recibidos en el propio 'smartphone'", ya que de esta forma, "aunque un atacante se haga con nuestro usuario y contraseña, esa medida extra de seguridad evitará que tenga acceso a nuestra información en la nube", indica el directivo.
Por otra parte, también es importante implementar herramientas o soluciones de seguridad contra amenazas móviles, que revisen y controlen el tráfico de red del dispositivo y que eviten ataques de robo de información de las aplicaciones y servicios de mensajería.