Formas de robar una cuenta de WhatsApp: el buzón de voz

Hoy día es imposible imaginar el mundo sin WhatsApp, y por extensión sin aplicaciones de mensajería instantánea. Sería imposible volver a la era pre-smartphone, donde se conversaba por mensajes SMS. WhatsApp es una aplicación usada por más de 2.000 millones de personas al mes, lo que significa que un 1/3 de toda la población mundial conversa a través de ella. Por esto mismo, la idea de perder tu cuenta resulta aterradora. Pero es que resulta que robarte la cuenta de WhatsApp es posible.

Cómo hackear una cuenta de WhatsApp

En la última entrada del blog personal de Chema Alonso, el conocido hacker y experto en ciberseguridad español, se especifican estos tres métodos. Una entrada escrita por cierto por Yaiza Rubio, otra experta en seguridad, cooperante del INCIBE (Instituto Nacional de Ciberseguridad de España) y la primera hacker española en dar ponencias en eventos como DEF CON o Black Hat Briefings.

El problema de WhatsApp parte de usar un número de teléfono como método de registro de cuenta en apariencia más seguro que el usual, el de email y contraseña, algo que hace WhatsApp.

Por mensaje SMS

Cuando instalas WhatApp en un móvil, a la hora de crear la cuenta se te pide un número de teléfono para asociarla a esta. Así, de alguna vez quieres reinstalar la app en otro dispositivo o simplemente no te acuerdas del login o contraseña, WhatsApp te ofrece 2 métodos para hacerte llegar el código de verificación que necesitas. Ahora imagina que de repente te llega un mensaje SMS con dicho código que no has solicitado.

Ampliar

Dado que es tu número, solo tu puedes ver los mensajes SMS enviados a tu número de teléfono. Pero el problema es que si no borras ese SMS, se queda en la carpeta, y alguien que tome el control de tu móvil a distancia podría leerlo, lo cual es posible:

- Si has sido víctima de un timo por Phishing, enlace, web maliciosa, etc que te ha instalado un malware que le permite a un hacker ver cualquier elemento del móvil

- Si has descargado una aplicación maliciosa o vulnerable y le has dado permisos para acceder a los SMS del terminal

- Por medio de la estafa SIM Swapping, un método en varias fases que consiste en clonar tarjetas SIM

- Por un Contacto de WhatsApp, el mismo hacker puede engañarte haciéndose pasar por un contacto tuyo, como la estafa que la Policía Foral de Navarra denunció en 2018

Por llamada telefónica

Cuando se envía el código de verificación por SMS, si se tarda más de un minuto en introducirlo, WhatsApp llama al número de teléfono que tiene registrado para indicar por voz el código de verificación. En caso de que el cibercriminal tuviese físicamente el móvil en sus manos, podría coger la llamada y saber el código. De hecho da igual que el terminal esté bloqueado, porque no hace falta desbloquearlo para contestar una llamada.

Otra variante sería que el hacker no tiene el móvil físicamente en sus manos, pero sí que lo ha pirateado a distancia. Existen virus troyanos como Android.Bankosy, un viejo conocido de la escena bancaria que puede derivar temporalmente las llamadas de un móvil y además recoger datos importantes de esas llamadas, como contraseñas.

Ampliar

Por el buzón de voz

Si no se mete el código de verificación enviado por SMS en 1 minuto, entonces WhatsApp te llama. Si no descuelgas la llamada, el servicio de la app te deja un mensaje en el buzón de voz, que se convierte así en otra fuente de datos para el hacker. De nuevo, si el cibercriminal tiene el móvil de la víctima en la mano, sólo tiene que llamar al buzón de voz de ese número de teléfono.

Pero si no lo tiene, entonces puede llamar al buzón de voz de ese número de teléfono desde otro móvil, lo que implica que el buzón de voz le pedirá el código PIN de seguridad para dejarle escuchar sus mensajes. Si el hacker no lo tiene, puede “recurrir a estadísticas sobre la frecuencia de uso de los número PIN, en donde el 1234 es el más frecuente, seguido del 1111 y del 0000”. Aunque si mete tres veces mal el código PIN, la llamada se cuelga automáticamente.

En Telegram no es posible

Telegram, la segunda tras WhatsApp en apps de mensajería, también permite enviar un código de verificación de una cuenta Telegram a través de SMS. Y si en 2 minutos no se ha introducido, también hace una llamada, con la salvedad de que Telegram no deja mensajes en el buzón de voz. Además las llamadas sólo son realizadas si la cuenta tiene configurada una contraseña adicional.

Esta contraseña adicional será requerida siempre que quieras iniciar sesión, además del código de inicio de sesión que es enviado vía SMS o llamada. Por lo tanto, y según nos cuentan desde la propia Telegram, "ninguno de los escenarios mencionados en el artículo relacionados con las llamadas de WhatsApp podrían tener éxito en el caso de Telegram", porque simplemente no se realizan llamadas si esta contraseña adicional creada por el usuario no está configurada.