6 riesgos de seguridad en Whatsapp y cómo evitar caer en fraudes

No es casual que cada día se cometan más fraudes a través de Whatsapp. Es tan grande su popularidad entre todos, que los cibercriminales han encontrado una nueva vía para cometer sus estafas. Es gratuita, fácil de usar y permite contactar a familiares y amigos a través de mensajes privados, conversaciones grupales e historias, difusión masiva de información a contactos, llamadas, videollamadas o envío de archivos.

1. Smishing

¡Es turno del tan conocido smishing! Este es otro ataque de ingeniería social del que puedes ser víctima a través de Whatsapp.

Se trata de una variación del phishing, dado que este ataque se efectúa a través de mensajes de texto o de Whatsapp. El atacante se hace pasar por una empresa de tu confianza y solicita datos sensibles para solucionar un inconveniente, entregarte un premio u ofrecerte descuentos. También es posible que adjunte el link a un sitio web. ¡No hagas clic! Se trata de una web fraudulenta creada y manejada por los ciberdelincuentes para extraer tu información y acceder a cuentas bancarias.

2. Extorsión y suplantación de identidad

Las brechas de seguridad en el ambiente digital y, en este caso Whatsapp, permiten el acceso no autorizado, robo y secuestro de información y datos sensibles de las víctimas. Así que otro riesgo al que se exponen los usuarios es la extorsión vinculada con la suplantación de identidad.

Muchos, bajo insistencia, engaño o intimidación se ven obligados a entregar credenciales de acceso o dinero. En Ecuador, estos casos son bastante comunes, por lo que a continuación revisaremos algunas formas de operar que tienen los ciberdelincuentes.

• Se hacen pasar por un conocido que pide apoyo para recuperar mercancías en la aduana.
• Suplantan la identidad de un familiar o amigo para solicitar ayuda para recuperar maletas durante un viaje y obtener dinero.
• Se hacen pasar por un familiar que erróneamente ha solicitado el envío de una clave al número celular de la víctima. Si esta le envía el código, el atacante obtiene el historial de conversaciones y archivos de Whatsapp, entre los que puede haber credenciales y cuentas bancarias.
• Contactan a la víctima y piden una recompensa en dinero a cambio de fotografías y videos privados que han sido secuestrados.
• Suplantan la identidad de una empresa de confianza con la que la víctima tiene relación, para cobrarle una deuda ficticia y presionarla a desembolsar dinero.
• Suplantan la identidad de un asesor financiero solicitando la actualización de datos y así apoderarse de las cuentas bancarias de la víctima.

3. Ataques desde redes públicas

Si has leído nuestro contenido sobre ciberseguridad antes, sabrás que navegar en internet usando redes públicas siempre es una muy mala idea. Si es que no, ahora te lo explicamos.

El problema al navegar por internet con conexión de redes públicas desde tu computadora o celular es que estas no cifran la información que transmites con cada clic que haces, así que cualquiera con habilidades de hackeo podría tener acceso a tus datos personales.

Si bien este no es un problema propio de Whatsapp, tu usuario en esta aplicación sí puede ser vulnerado al usar redes públicas. ¿Cómo? Gracias al “ataque del intermediario” o man-in-the-middle. Esto significa que el ciberdelincuente intercepta toda la información que generas en internet para usarla a su favor; por ejemplo, tu perfil de Whatsapp y todos tus mensajes. ¡Nunca uses redes públicas!

Las conversaciones en Whatsapp se pueden exportar. Procura eliminar todos los chats periódicamente.

4. Robo de mensajes y respaldos

Seamos sinceros, es común hacer compras vía Whatsapp entregando los datos de la tarjeta de débito o crédito. También es común que, en un momento de urgencia, confiemos las credenciales de Banca Web a un familiar para efectuar una transacción. Puedes borrar esos mensajes con información sensible pero no eso no es suficiente. ¿Por qué?

Si bien Whatsapp te permite eliminar los mensajes que envías, tanto para ti como para el receptor, en realidad estos se almacenan en una suerte de papelera de reciclaje en un sistema de gestión de base de datos llamada SQLite. Esta base de datos es desencriptable, así que cualquiera con el conocimiento y las herramientas necesarias puede obtener información tuya que pensaste que ya no existía.

Por otro lado, los respaldos de Whatsapp, más que una ayuda para el usuario, pueden significar una brecha de seguridad. Con tu correo, el cibercriminal puede recuperarlos y usar la información como mejor le convenga. ¿Seguro no enviaste contraseñas por este canal?

Encuentra la configuración de copias de seguridad en la sección “Chats” en los Ajustes de Whatsapp.

5. QRLJacking (Quick Response Code Login Jacking)

Antes de iniciar sesión en Whatsapp Web desactiva la opción de mantener la sesión activa.

Este es un tipo de ataque de ingeniería social que consiste en la vulneración de los códigos QR que generan las aplicaciones móviles, para ofrecer funcionalidades a los usuarios. En este caso, Whatsapp emplea QRs para iniciar sesión en su versión web. ¡Sigue leyendo, que te lo explicamos a detalle!

El código QR es una suerte de imagen que almacena, de forma privada, varios códigos encriptados nunca visibles para los usuarios. Funciona como un código de barras, de esos que vemos en los empaques de productos y que también almacenan información.

Los ciberdelincuentes toman la imagen del código QR que entrega la app para acceder a Whatsapp Web y colocan un nuevo código encriptado creado por ellos. De esta manera, cuando el usuario inicia sesión, el atacante ya ha almacenado sus datos de acceso. A partir de ahí, podrá usar la cuenta de la víctima. Todas sus conversaciones, fotografías, imágenes y videos que hayan sido enviados por este canal estarán en sus manos. ¿Te imaginas el destino que pueden tener?

6. Pagos sin cifrado de extremo a extremo

Según el apartado de seguridad del sitio web oficial de Whatsapp, la función de pagos permite a los usuarios hacer transferencias entre cuentas de bancos y otras instituciones financieras. A pesar de que los datos sensibles, como números de tarjetas y cuentas se cifran y almacenan en una red de seguridad, estos no pueden ser cifrados de extremo a extremo porque las entidades bancarias necesitan acceder a esta información para procesar las transacciones. ¿Te imaginas lo que puede suceder?

Recuerda que, si eres víctima de un ciberdelito, la Policía Nacional recomienda poner una denuncia en los Servicios de Atención Ciudadana de la Fiscalía.