“Hola, soy Ana, me recordarás de la universidad, me ha dado tu número Pedro, me gustaría retomar el contacto”. Un inocente mensaje de WhatsApp de una supuesta exnovia de la etapa estudiantil puede comenzarlo todo. 

El incauto interlocutor acepta el intercambio de mensajes y se embarca en un tórrido intercambio de frases con Ana (no es su nombre real), llegando al punto de realizar todo tipo de charlas picantes que terminan con el afectado mostrando toda su “pasión” en una videollamada a través de este sistema de mensajería instantánea. 

Un vídeo que por supuesto es registrado por Ana y por el cual se le piden decenas de miles de euros unos días después. De mala gana el hackeado -un alto directivo de una gran corporación española- paga el rescate y evita que se conozca el escándalo: está casado, tiene hijos y una reputación pública que proteger. 

No estamos hablando de una historia de espías, es un caso real que ha sucedido a un primer espada de la empresa española y un ejemplo de hasta dónde pueden llegar las intervenciones fraudulentas de WhatsApp, probablemente una de las redes sociales más inseguras del mundo, pero la más utilizada con más de mil millones de usuarios en todo el planeta.

El próximo Wanacry

Albert Rivera, el líder de ciudadanos, denunció hace unas semanas que le habían hackeado el WhatsApp, accediendo a todos sus contactos y conversaciones privadas. Una práctica que se conoce ahora públicamente, pero que afecta desde hace meses no solo a políticos sino que a importantes empresarios españoles. 

De hecho, los expertos en ciberseguridad con los que ha hablado EL ESPAÑOL indican que WhatsApp tiene tantos problemas de seguridad que puede convertirse en el próximo Wanacry de las empresas, el virus que en 2017 paralizó a compañías como Telefónica. Fue un ataque mundial que se coló a través de los correos electrónicos. Un ataque a WhatsApp es mucho más sencillo de realizar ya que está presente en prácticamente todos los dispositivos móviles de todo el mundo.

Las fuentes consultadas por este periódico indican que hasta ahora las grandes empresas han callado, pero que el hackeo a las cuentas de WhatsApp es mucho más común de lo que parece y que incluso ya se han pagado rescates de varias decenas y centenares de miles de euros por fotos, vídeos, mensajes y conversaciones de los afectados, muchas veces directivos de primer nivel como el ‘amigo’ de la ficticia Ana de la que hablamos al comienzo de esta historia. 

Y es que es sumamente fácil acceder a WhatsApp y que hay cientos de usos que se hacen posteriormente de los datos obtenidos. Una vez que se los hackers tiene acceso a una agenda de contactos de un personaje influyente, como le sucedió a Albert Rivera, todos sus habituales interlocutores están en peligro y la suplantación comienza a gran escala. 

El caso de Albert Rivera

Siguiendo con el ejemplo de Albert Rivera, los autores del hackeo conocieron el número de su teléfono asociado a la cuenta de WhatsApp (conseguido probablemente tras hackear otro teléfono que tuviese su contacto) y lo asociaron a un terminal en su poder, para luego denunciar a Rivera alegando que ellos eran los auténticos dueños. 

Esto activa un procedimiento de seguridad enviando un mensaje de texto al número de cuenta para verificar la identidad.  Con el mensaje, y su código de verificación añadido, ya en el teléfono de Albert Rivera, los "hackers" se hacen pasar por WhatsApp para indicarle que su cuenta ha sido robada y que necesitan el código de verificación para comprobar que su identidad es auténtica. 

Con este mensaje, Rivera, o cualquier otro afectado, envía incautamente el código que es el que usan los piratas informáticos para activar la cuenta en sus propios terminales. A partir de ahí, hay vía libre para los intrusos que ya conocen toda la lista de contactos y los grupos del afectado, grupos políticos en el caso de Rivera, empresarios, en el caso del directivo.

Confianza en WhatsApp

Y es aquí donde entra el tema de la fiabilidad de WhatsApp, un problema que va más allá que el hackeo en sí mismo, y que tiene que ver con la confianza en el propio sistema de mensajería. Cualquiera puede tener un número de teléfono y hacerse pasar por familiar aportando como única prueba una foto de perfil falsa.

“En el caso de WhatsApp es sorprendente como nos fiamos solamente al ver una foto en el perfil, aunque se nos esté diciendo que este contacto ha cambiado de número”, dice uno de los expertos contactados. Y en efecto, en el mundo empresarial los contactos privados suelen ser los compañeros de trabajo y otros empresarios del sector, lo que multiplica el peligro a niveles insospechados. Un riesgo real que decenas de empresas ya están viviendo y que ya se ha cobrado varias víctimas.