En los últimos meses se ha detectado un aumento de una modalidad de robo de cuentas de WhatsApp que no requiere que la víctima haga clic en ningún enlace ni descargue archivos. ¿La vía de acceso? El buzón de voz.
El Instituto Nacional de Ciberseguridad de España (INCIBE) alertó de este nuevo método, basado en la ingeniería social, que aprovecha un descuido común para hacerse con el control total de una cuenta de WhatsApp y suplantar a la víctima ante sus propios contactos.
Pero, ¿cómo funciona exactamente este fraude? ¿Y qué medidas se pueden tomar para evitarlo?
El ataque sin clic: Así funciona el fraude del buzón de voz
Según explica INCIBE, el procedimiento comienza cuando los ciberdelincuentes intentan registrar el número de teléfono de la víctima en un dispositivo diferente. WhatsApp envía entonces un código de verificación por SMS o llamada, como parte del proceso habitual.
Si el mensaje no se recibe (por ejemplo, si el usuario no contesta), la aplicación puede ofrecer la opción de enviar el código mediante llamada de voz. En este punto, si la víctima tiene activo el buzón de voz y no responde a la llamada, el código se graba automáticamente en el buzón.
Aprovechando que muchas personas no tienen configurado un PIN seguro en su buzón, los estafadores intentan acceder a él llamando al número de la víctima desde otro dispositivo. Si logran entrar, recuperan el mensaje con el código de verificación y, con él, consiguen hacerse con la cuenta de WhatsApp sin que el usuario haya interactuado con nada.
Suplantación y fraudes a contactos
Una vez que los delincuentes se hacen con el control de la cuenta, pueden hacerse pasar por la víctima en sus conversaciones individuales y grupos, con el objetivo de llevar a cabo nuevas estafas. En muchos casos, solicitan dinero a los contactos o difunden enlaces maliciosos desde una cuenta aparentemente de confianza.
Desde WhatsApp advierten que, una vez registrada la cuenta en otro teléfono, la sesión de la víctima se cierra automáticamente. Por eso es fundamental actuar rápido en cuanto se detecta un uso no autorizado.
El método clásico: Engaño por mensaje directo
Además del método del buzón de voz, el tipo de fraude más común sigue siendo el intento de engañar directamente a la víctima para que comparta el código de verificación que recibe por SMS.
Un mensaje típico puede ser: "Hola, lo siento. Te envié por error un código de 6 dígitos por SMS. ¿Me lo puedes pasar? Es urgente".
Una vez que la persona lo facilita, pierde el control de su cuenta. Por ello, nunca se debe compartir el código de 6 dígitos recibido por SMS con nadie, ni siquiera con amigos o familiares, tal y como recuerda INCIBE.
¿Qué hacer si te han robado la cuenta?
Si los ciberdelincuentes han conseguido acceder a tu cuenta de WhatsApp, la página de soporte de la aplicación recomienda registrarla de nuevo lo antes posible con tu número de teléfono. Recibirás un nuevo código de 6 dígitos y, una vez introducido, se cerrará automáticamente la sesión en el dispositivo donde el intruso haya iniciado sesión.
En algunos casos, si el estafador ha activado la verificación en dos pasos, no podrás acceder de inmediato y deberás esperar hasta siete días para hacerlo sin el PIN. En ese tiempo, no se puede recuperar la cuenta.
También es importante contactar con tu operadora para bloquear la tarjeta SIM --si has perdido el móvil-- y revisar qué sesiones están abiertas desde WhatsApp Web o Escritorio para cerrar accesos no autorizados.
Por su parte, INCIBE y otros organismos oficiales recomiendan seguir estos pasos para intentar recuperarla y minimizar los daños:
- Informa a tus contactos lo antes posible para evitar que otros caigan en posibles estafas a tu nombre.
- Escribe a [email protected] explicando lo sucedido y solicitando asistencia para recuperar la cuenta.
- Si no recibes respuesta en un plazo razonable, contacta con el delegado de protección de datos de WhatsApp.
- Si tras un mes no logras recuperar tu cuenta o no te dan una solución satisfactoria, presenta una reclamación ante la Agencia Española de Protección de Datos (AEPD).
- Reúne todas las pruebas posibles de la suplantación o uso fraudulento (pantallazos, conversaciones, correos).
- Denuncia el caso ante las Fuerzas y Cuerpos de Seguridad del Estado, especificando que han suplantado tu identidad para cometer otros fraudes.
- Cambia inmediatamente el PIN de tu buzón de voz o desactívalo por completo si no lo utilizas.
- Nunca accedas a chantajes ni envíes dinero si el atacante se pone en contacto contigo. Corta la comunicación y reporta el caso.
Cómo evitar que te roben la cuenta de WhatsApp
Activa la verificación en dos pasos: ve a Ajustes > Cuenta > Verificación en dos pasos y crea un PIN. Este código será necesario cada vez que se quiera registrar la cuenta en un nuevo dispositivo.
Configura un PIN seguro en tu buzón de voz para evitar accesos no autorizados. El pin por defecto que tienen muchas compañías suele ser 0000 o 1234, combinaciones fácilmente predecibles que pueden ser adivinadas con facilidad por los ciberdelincuentes.
No compartas el código de verificación de 6 dígitos con nadie.
Restringe quién puede ver tu foto de perfil a "Mis contactos", desde Ajustes > Privacidad.
No confíes en mensajes que solicitan dinero o datos urgentes. Llama siempre a la persona antes de hacer una transferencia.
FUENTE: EUROPA PRESS
