Los ciberdelincuentes podrían estar utilizando tu buzón de voz para acceder a tu cuenta de WhatsApp

Los ciberdelincuentes podrían estar utilizando tu buzón de voz para acceder a tu cuenta de WhatsApp

Carlos Zapatero

En contra de la creencia general, los ciberdelincuentes no siempre utilizan innovadoras técnicas de suplantación de identidad para robar nuestros datos personales. En muchos casos, las vías de entrada son mucho menos sofisticadas: el buzón de voz es un buen ejemplo de ello. Y esta parece haber sido la vía de entrada para el robo de cuentas que afectó, hace un año, a 11 millones de usuarios de WhatsApp.

Cuando hablamos de ciberdelincuencia, es habitual relacionar la misma con técnicas avanzadas e innovadoras con las que acceder a las bases de datos de las grandes compañías para hacerse con nuestra información personal. Sin embargo, la realidad es bien diferente. Los grandes grupos criminales basan su trabajo en tratar de encontrar vulnerabilidades y puertas de entrada en sitios que, por diferentes razones, se han descuidado en materia de seguridad durante los últimos años. Como puede ser un simple buzón de voz.

El pasado 25 de noviembre de 2022, se hacía oficial la venta de los datos de 11 millones de usuarios que utilizan WhatsApp activamente. Sin embargo, hasta este momento se desconocía cómo se llevó a cabo el robo. Ahora, se ha confirmado que fue mediante la técnica del buzoneo y el descuido en materia de seguridad de las principales operadoras.

El buzón de voz para validar una cuenta

Cuando tenemos que verificar nuestra cuenta de WhatsApp, la aplicación nos ofrece dos vías: SMS o llamada telefónica. Los estafadores hacían uso de esta segunda vía para poder acceder al código de verificación y, a continuación, utilizar la cuenta con normalidad. Para ello, los delincuentes instalaban WhatsApp con normalidad y se registraban con el número al que deseaban acceder. A continuación, en vez de solicitar la verificación por SMS, lo hacían a través de llamada telefónica, siempre teniendo en cuenta realizar tal acción cuando el usuario no iba a poder contestar a esta llamada, como durante la noche.

No obstante, conviene recordar que para acceder a un buzón de voz de cualquier operador es necesario disponer de una clave que permita acceder al contenido. Entonces, ¿cómo era posible? En el siguiente vídeo que podemos encontrar en YouTube podemos hacernos una idea de cómo era este proceso. A base de forzar la locución automatizada del operador en cuestión, era posible cambiar la clave y acceder a todo el contenido que había en el interior de estos mensajes. En este caso, lo que interesaba era el código de verificación de WhatsApp.

En algunos operadores, incluso, no era necesario introducir ninguna clave si la llamada se hacía desde el mismo número de móvil. No obstante, se pasaba por alto que cambiar el caller ID es relativamente sencillo si se cuenta con los conocimientos adecuados.

WhatsApp ha tomado medidas al respecto

Pese a que esta vulnerabilidad tiene su origen en la seguridad de los operadores, WhatsApp ha decidido, a raíz de esta filtración, añadir un paso intermedio cuando tenemos que recibir el código de verificación a través de la llamada de voz. De este modo, evitamos que la técnica del buzoneo se pueda automatizar y que el buzón de voz pueda grabar el contenido de la llamada si el usuario no contesta a la misma. A partir de ahora, WhatsApp no dice el código de verificación si el usuario no pulsa una tecla concreta que se comparte en la llamada. De este modo, en el caso de que salte el buzón de voz, no se iniciará la locución y se colgará automáticamente. Minimizando las posibilidades de que se pueda continuar utilizando esta técnica en un futuro.

¡Sé el primero en comentar!