Existe un truco que permite a atacantes secuestrar la cuenta de WhatsApp de una persona y acceder a los mensajes personales y a su lista de contactos. Este ataque fue descubierto por la empresa CloudSEK y el medio especializado en seguridad Bleeping Computer probó y descubrió que el método funciona, aunque con algunas dificultades “que un atacante suficientemente hábil podría superar”.
¿Cómo lo consiguen? Pues por lo que se sabe hasta ahora, el método se basa en usar un servicio automatizado de los operadores de telefonía móvil y así desvían las llamadas a un número de teléfono diferente, usando la opción de WhatsApp de enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.
Unos minutos para hacerse con WhatsApp
El atacante necesita conocer el número de teléfono del objetivo para lograr su propósito. Conseguir los números no es tan dificil. El año pasado, gracias a ataques masivos de phishing, unos atacantes se hicieron con números de gran parte de la ciudadanía española. Y también tras un ataque a Facebook.
Según los expertos, “se tarda sólo unos minutos en hacerse con la cuenta de WhatsApp de una víctima“. El líder de CloudSEK dice que un atacante necesita primero convencer a la víctima de que haga una llamada a un número que empiece con un código de Interfaz Hombre-Máquina (MMI) que el operador de telefonía móvil haya configurado para permitir el desvío de llamadas.
Un Código USSD en ejecución (o código MMI, como menciona el párrafo anterior) aparece cuando se marca un código desde el terminal del que se recibe respuesta desde la red para efectuar alguna operación tal como comprobar o activar desvíos. Suelen ser códigos que van precedidos de símbolos, como * o #, que les hace diferenciarse de una llamada, como aclaran desde Movistar.
Dependiendo del operador, un código MMI diferente puede desviar todas las llamadas a un terminal a un número diferente o sólo cuando la línea está ocupada o no hay recepción.
Como explican desde la empresa que ha descubierto estos ataques: “en primer lugar, recibes una llamada del atacante que te convencerá de que hagas una llamada al siguiente número **67* o 405. En pocos minutos, tu WhatsApp se desconectaría y los atacantes obtendrían el control total de tu cuenta”.
El investigador explica que el número de 10 dígitos pertenece al atacante y el código MMI que lo precede indica al operador de telefonía móvil que desvíe todas las llamadas al número de teléfono especificado tras él cuando la línea de la víctima esté ocupada.
Una vez que han engañado a la víctima para que desvíe las llamadas a su número, el atacante inicia el proceso de registro de WhatsApp en su dispositivo, eligiendo la opción de recibir la OTP a través de una llamada de voz.Después de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo y activar la autenticación de dos factores (2FA), que impide que los propietarios legítimos vuelvan a tener acceso.
Problemas en el proceso
En primer lugar, el atacante debe asegurarse de utilizar un código MMI que reenvíe todas las llamadas, independientemente del estado del dispositivo que es objetivo. “Por ejemplo, si el MMI sólo reenvía las llamadas cuando una línea está ocupada, la llamada en espera puede hacer que el secuestro falle”, explican.
Otro problema registrado es que mientras a una persona le están tratando de robar su cuenta, recibe mensajes en su WhatsApp que informan de que WhatsApp se estaba registrando en otro dispositivo.
(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();
–
La noticia Este ataque permite que alguien te robe el WhatsApp y pueda ver y escribir tus mensajes en minutos fue publicada originalmente en Genbeta por Bárbara Bécares .
