Hace unas horas el líder de Ciudadanos, Albert Rivera, hacia publico que su cuenta de WhatsApp había sido hackeada durante el viernes 20 de septiembre.
Con lo poco que se ha desvelado se puede asegurar que este ataque no se ha llevado a cabo contra la aplicación de mensajería en general, sino que ha sido un caso de phishing perpetrado directamente al terminal del político.
Aprovechando este caso hablaremos un poco de una de las formas de robo de información más común en estos días.
Que es el Phishing
Este método usado masivamente por los ciberdelincuentes se basa en utilizar cuentas, correos o sitios web falsos imitando a otros ya existentes, donde se le pide al usuario una serie de información personal que puede consistir en contraseñas, números de tarjeta de crédito o de cuentas bancarias. Una vez la victima cede esta información, el criminal ya dispone de ella para utilizarla como mejor le convenga.
El Phishing en WhatsApp
En la aplicación este método ha de ser algo más elaborado, ya que, no solo se necesita un nombre de usuario y una contraseña para obtener todos los datos de la víctima, sino que también se necesita el código de seguridad que se envía por SMS.
Por lo tanto, el método que usan es el siguiente:
- Primero necesitan tu numero de teléfono, algo fácil de conseguir en estos tiempos.
- Seguidamente usando el propio sistema de ayuda y recuperación de cuenta de WhatsApp piden que se verifique la cuenta.
- La victima recibe un código SMS y a su vez un correo o mensaje fraudulento, haciéndose pasar por un representante de WhatsApp pidiéndole este código, con las excusas como la comprobación de datos para la autentificación de la cuenta.
Una vez envías el código de este SMS ya tienen control total a todos los datos de la víctima, desde contactos a mensajes os implemente sabotear la imagen del propietario uniéndose a grupos de WhatsApp de dudosa reputación, como ha ocurrido en este caso concreto.
Como evitar el Phishing
Pese a que los delincuentes suelen tener éxito con este sistema, realmente es uno de los más fáciles de evitar. Simplemente has de desconfiar de cualquier correo electrónico que te pidan datos específicos de tus cuentas, ya que ninguna empresa legal, te los pedirá jamás ni por correo ni por mensaje.
También hay que fijarse en el nombre del correo electrónico ya que, las compañías siempre suelen usar el mismo correo para comunicarse con el cliente, así que no hay que fiarse de los que llegan con nombres fuera de lo común, como appel.s@ que se uso en un ataque en el año 2017.