Albert Rivera ha denunciado el robo de su cuenta de Whatsapp ante la Guardia Civil. En concreto, el líder de Ciudadanos afirmó el pasado viernes que su cuenta había sido "pirateada" por un "hacker".
Aunque no se han hecho públicos la mayoría de los detalles, por lo que ya se sabe es poco probable de que se trate de un "ataque hacker" contra el propio servicio; por lo tanto, la seguridad de Whatsapp no ha sido comprometida por un atacante y el resto de usuarios no deberían temer perder su cuenta, si siguen las medidas de seguridad adecuadas.
Y es que todo apunta a que en realidad, estamos ante un clásico caso de "phishing", una técnica usada para obtener acceso a un sistema o cuenta con la ayuda del propio usuario; por lo tanto, las acciones del propio Rivera habrían ayudado a los atacantes.
Cómo se "hackea" una cuenta de Whatsapp
En seguridad informática, el usuario siempre suele ser el eslabón más débil; los sistemas que usamos son cada día más seguros y complejos, así que tiene más sentido atacar directamente al usuario.
Es por eso que los ataques de "phishing", en los que el atacante se hace pasar por una empresa o institución, tienen tanto éxito. Usando direcciones de correo o cuentas parecidas a las oficiales, contactan con la víctima con la intención de obtener los datos de acceso como el nombre de usuario y la contraseña. Seguro que en tu carpeta de "spam" ahora mismo hay correos similares.
Pero Whatsapp es diferente a otros servicios, en el sentido de que entrar en una cuenta no es tan fácil como meter un nombre y una contraseña. Todas las cuentas están asociadas a un número de teléfono, y por lo tanto, eso en teoría impone una seria limitación. Pero los "hackers" ya han ideado un método para obtener nuestra cuenta incluso aunque esté asociada a nuestro número de teléfono.
Este método se aprovecha, irónicamente, de la política de Whatsapp sobre cuentas robadas y recuperación de cuenta. Pongamos que nos han robado la cuenta, o simplemente que hemos cambiado de teléfono. Para recuperar nuestra cuenta de Whatsapp, una vez que hayamos instalado la app podemos pedir que nuestro número de teléfono sea verificado.
En ambos casos, Whatsapp nos enviará un código de seis dígitos a través de SMS al número de teléfono asociado con nuestra cuenta. De esta forma, Whatsapp tiene la seguridad de que somos nosotros los que estamos intentando entrar en nuestra cuenta.
Cómo le robaron la cuenta a Rivera
Por eso, el ataque contra Albert Rivera se ha tenido que basar en conseguir que el político les diese ese código.
Para empezar, el atacante tendría que haber sabido el número de teléfono de Albert Rivera, una información que podría haber obtenido por otros medios. Sea como sea, con ese número de teléfono puede usar la ayuda de Whatsapp para solicitar un nuevo código y asociar su teléfono con la cuenta de Whatsapp de la víctima.
Pero para ello, necesita el código, que la víctima habrá recibido por SMS. Aquí es donde entra el ataque de "phishing". Rivera habría recibido un mensaje o un correo electrónico en el que el atacante se habría hecho pasar por un representante de Whatsapp, y le habría solicitado el código que recibió por SMS. Normalmente se usan excusas como "comprobar en la base de datos" que Rivera es realmente el propietario de la cuenta.
Cuando la víctima entrega el código recibido por SMS, el atacante puede introducirlo y obtener acceso a la cuenta. A partir de ahí, tiene completo control sobre la cuenta de la víctima, y puede hacerse pasar por ella para obtener información, o simplemente para sembrar el caos, como parece que ha hecho este atacante, que se ha unido a grupos de Whatsapp polémicos.
Cómo evitar que te ocurra lo mismo
La manera más fácil de evitar este tipo de ataques es ignorar todos los mensajes y correos en los que alguien nos pida un código o contraseña. Ningún servicio que se precie no pedirá ese tipo de datos a través de un correo electrónico, de la misma manera que nuestro banco nunca nos pedirá el código de acceso por correo.
Verificacion en dos pasos de Whatsapp
Para mayor seguridad, podemos activar otras medidas, como la verificación en dos pasos, que en la app de Whatsapp se encuentra en la sección "Cuenta" en "Ajustes". Esta opción nos obligará a insertar un código cada vez que queramos iniciar sesión en nuestra cuenta.