Te roban la cuenta de WhatsApp sin contraseña ni duplicar la SIM

Uno de ellos tiene un nombre que da miedo, ‘ghostpairing’. Hace referencia al emparejamiento de nuestra cuenta de WhatsApp a un dispositivo (‘smartphone’, tableta electrónica u ordenador) del que no tenemos constancia, vamos que no es nuestro. De ahí lo de ‘ghost’ (fantasma en inglés).

«Es una estafa que aprovecha una función legítima de la app, vincular la cuenta a otro gadget, como cuando usas WhatsApp Web. Con ingeniería social, la víctima acaba autorizando ese vínculo y el atacante puede acceder a los chats desde su equipo», señala Jonay Puente, profesor del Máster de Ciberseguridad del centro IMF. Lo más inquietante es que es la propia víctima la que da la autorización: «A diferencia del ‘SIM swapping’, aquí no necesitan duplicar tu SIM ni interceptar un SMS. La clave es que te engañan para que tú mismo les des acceso», prosigue el experto.

Todo comienza con un mensaje. Nos lo envía, aparentemente, uno de nuestros contactos, que nos invita a ver una foto en la que aparecemos. Pero para acceder a ella, hay que pinchar un enlace. Al hacerlo, nos aparece una ventana de inicio de sesión similar a la de Facebook, donde se nos pide introducir nuestro número de teléfono y, a continuación, escanear un código QR desde el apartado ‘Dispositivos vinculados’ de los ajustes de WhatsApp. Y ahí es cuando, sin saberlo, le estamos dando la llave de nuestra cuenta a los ciberdelincuentes.

Lo que parece un mero proceso de identificación resulta, en realidad, nuestra aprobación para que los desconocidos accedan a todas nuestras conversaciones de WhatsApp (fotos y vídeos, incluidos). Esto pone en riesgo algo más que nuestra privacidad: el malhechor digital puede usar dicha información para chantajearnos o incluso vendérsela al mejor postor en el desempeño de otras estafas.

Pero lo que hace especialmente peligroso al ‘ghostpairing’ es que resulta fácil pasarlo por alto. Las versiones para escritorio y navegador de WhatsApp permiten emparejar una misma cuenta con hasta cuatro dispositivos adicionales, sin necesidad de que nuestro móvil se encuentre conectado. Una situación que puede prolongarse durante semanas, hasta que, por algún motivo, decidamos revisar el listado de vinculaciones en el menú de configuración de la app.

Si hemos sido víctimas de este tipo de estafa, Puente aconseja «entrar cuanto antes en la opción ‘Dispositivos vinculados’ de WhatsApp y expulsar cualquiera desconocido». Luego, «activar o cambiar la verificación en dos pasos y revisar la seguridad de tu cuenta». También es importante que avises a tus contactos, ya que pueden estar recibiendo mensajes fraudulentos desde tu número. Y si has compartido datos sensibles o encuentras cargos sospechosos en tu cuenta, contacta con el banco y denuncia la situación ante las autoridades con capturas como prueba.

Como medidas preventivas, el experto de IMF propone, a su vez, «activar la verificación en dos pasos (con pin) en WhatsApp; no introducir códigos ni seguir instrucciones llegadas por mensajes que no hayamos solicitado; y, en caso de recibir mensajes extraños de un contacto, confirmar su veracidad comunicándonos con esa persona a través de SMS, llamada telefónica…». Así evitaremos que un fantasma se cuele en nuestra vida digital y la cosa acabe en pesadilla.

 

La firma de ciberseguridad CheckPoint señaló en su último ‘Brand Phishing Report’ cuáles son los errores más peligrosos que podemos cometer en WhatsApp. Además de no activar la verificación en dos pasos (lo que hace nuestra cuenta mucho más fácil de ‘secuestrar’), son los siguientes.

Compartir la ubicación en tiempo real sin ton ni son. A través de ‘Configuración’ > ‘Privacidad’. Si terceras personas consiguen entrar en nuestra cuenta podríamos revelarles nuestra posición o rutas habituales.

Mantener activa la descarga automática de archivos.En ‘Configuración’ > ‘Almacenamiento y datos’. Corremos el riesgo de que un archivo malicioso infecte nuestro dispositivo.

No revisar los ajustes de privacidad.Hacerlo periódicamente reduce la probabilidad de que nuestros datos caigan en malas manos.

No actualizar la aplicación.Solo así nos aseguramos los últimos parches de seguridad lanzados por los desarrolladores

Enviar información confidencial.Para documentos sensibles, mejor optar por una plataforma diseñada expresamente para el intercambio seguro de datos.

No controlar los permisos de WhatsApp en el dispositivo.En caso de una brecha de seguridad, los ciberdelincuentes tendrán vía libre a la cámara, el micrófono o los contactos de nuestro móvil, por poner tres ejemplos.