El líder de Ciudadanos, Albert Rivera, ha sido víctima de phishing. Según ha publicado el periódico El Mundo este domingo, el político de la formación naranja denunció el pasado viernes ante la Guardia Civil haber sufrido un ataque en su teléfono móvil mediante un mensaje-trampa. ¿El objetivo? Su WhatsApp.
Haber caído en el engaño de los ciberdelincuentes mediante esta técnica de ingeniería social le ha costado a Rivera perder el acceso a WhatsApp tal y como ha confirmado su formación política. El caso está en manos de la Unidad de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil.
Así fue el ataque y así se puede evitar
Albert Rivera ha sido víctima de un ataque que se ha popularizado en los últimos tiempos y que se vale, como tantos otros, del factor humano. Hablamos del phishing, un tipo de ataque que emplea ingeniería social para conseguir mediante métodos fraudulentos las claves de acceso a un servicio haciéndose pasar ante la víctima como una persona o empresa de confianza. Generalmente, se suplanta la identidad del servicio al que pretenden acceder ilícitamente.
El ataque sufrido por el presidente de Ciudadanos se desencadenó con un SMS legítimo enviado por WhatsApp y provocado por los atacantes. Bien por intentar cambiar el número de teléfono al que está vinculada la cuenta de la plataforma de mensajería, bien porque denunciasen haciéndose pasar por el propio Rivera que su perfil había sido robado por un tercero.
En cualquiera de los dos casos, el servicio envía un mensaje de texto al número de teléfono vinculado con una clave de seguridad que deberemos introducir para seguir con los distintos procesos. Así nos identificamos frente a WhatsApp.
Siguiendo con el proceder habitual de este tipo de ataque, al mismo tiempo que la víctima recibía el SMS legítimo, los atacantes se hicieron pasar por la plataforma genuina mediante el envío de otro mensaje cuyo objetivo era conseguir la clave de seguridad. Para darle credibilidad, en él aseguraban que alguien había intentado acceder a la cuenta, indicaban la fecha, la hora y la supuesta localización desde la que se había llevado a cabo el ataque frustrado y solicitaban el código que WhatsApp le acababa de enviar.
El político barcelonés, creyendo que este segundo SMS era legítimo, proporcionó involuntariamente la clave de seguridad a los atacantes y estos lograron tomar el control de su cuenta de WhatsApp bloqueando su acceso a la misma. No obtuvieron sus conversaciones pasadas, dado que estas se guardan localmente o en copias de seguridad, pero sí a los contactos y a los nuevos mensajes que recibiera. También podían enviar mensajes en su nombre.
¿Cómo evitar un ataque como el sufrido por Albert Rivera? No compartiendo nunca el código de verificación de WhatsApp que recibimos por SMS.
Como explica el propio servicio en sus consejos de seguridad para proteger nuestra cuenta, "WhatsApp nunca te pedirá que compartas tu código de verificación con nadie". No debemos compartirlo ni con conocidos ni con empresas que, a priori, puedan ser de confianza.
Los códigos de verificación de seis dígitos que WhatsApp envía por SMS sirven, precisamente, para recuperar una cuenta cuando ha sido robada. Cuando esto sucede, desde la plataforma nos piden registrar nuestro número de teléfono y verificarlo introduciendo el código recibido. Una vez transmitido, como explican, la sesión abierta con nuestra cuenta por el atacante es cerrada automáticamente.
Además, es altamente recomendable activar la verificación en dos pasos tal y como recomienda la propia plataforma. Una opción de seguridad extra que nos obliga a introducir un PIN de seis dígitos establecido por nosotros mismos cuando se intenta verificar el número de teléfono vinculado a WhatsApp.
Ver 3 comentarios