Si usas WhatsApp, seguramente debéis estar preocupado por tu privacidad. Y es que sespués de que el teléfono del fundador de Amazon, Jeff Bezos, se vio comprometido por un vídeo malicioso enviado a través de WhatsApp, es de esperar que pienses en la seguridad de tu propio teléfono y pienses con qué facilidad podrían ser pirateados.
Hay muchas herramientas, trucos y consejos para proteger mejor a los dos mil millones de usuarios de WhatsApp de los ciberdelincuentes, pero la verdad es que si un actor de amenazas está lo suficientemente dedicado, hay poco que podamos hacer más que protegernos de la mejor manera. posible … y espero que los atacantes se muevan hacia objetivos menos bien defendidos.
Pero cuando se trata de WhatsApp, ¿hay algo más que podamos hacer para proteger nuestra cuenta? Los mensajes ya están encriptados. Esto significa que las personas encargadas de hacer cumplir la ley no pueden investigar esas conversaciones privadas directamente, pero ¿hay otra forma de entrar? La clave de cifrado de un mensaje de WhatsApp está presente en ambos móviles que se usan en la conversación, por lo que los actores de amenazas tendrían que tener uno en sus manos para leer esos chatlogs.
Aquí es donde la mayoría de los lectores pueden asentir con suficiencia al hecho de que usan un PIN complejo o una entrada biométrica en sus móviles. Sin embargo, ¿qué pasaría si pudiera tomar el control de la cuenta de alguien con solo conocer su número de teléfono? Esto es muy posible y aterrador, pero hay formas de reducir el riesgo y evitar que esto suceda en tu cuenta. Los describiré al final de la publicación del blog.
¿Entonces, cuál es el problema?
Cuando compras un nuevo teléfono e instala todas tus aplicaciones y configuraciones existentes, restaura desde tu copia de seguridad, y si usas WhatsApp, entonces requieres que te envíe un código a tu número de teléfono. Ese código (generalmente enviado al móvil en el que está instalando la aplicación) validará el teléfono y volverá a tus chats. Si también tenéis una copia de seguridad de los mensajes, aparecerán hasta la última vez que realizaste una copia de seguridad del móvil; si no, los nombres de las personas y grupos con los que está conversando se mostrarán sin los mensajes.
Aquí es donde noté una falla potencial. ¿Podrías configurar la cuenta de WhatsApp de otra persona en un nuevo móvil o tablet simplemente tomando el código enviado al teléfono del objetivo?
Decidí probar mi hipótesis con uno de mis colegas la semana pasada (que generalmente está en el extremo receptor de mis payasadas de la oficina de ingeniería social pero sigue feliz de participar).
Nota: ¡No pruebes esto en nadie que no haya otorgado explícitamente permiso previo!
Recientemente, dije en nuestra conversación que siempre es una buena idea hacer una copia de seguridad de tus chats de WhatsApp, en caso de que no lo hiciera, ya que no querría que los perdiera para siempre. Unos días después, usé mi teléfono de repuesto y descargué la aplicación. Solicitó mi número de teléfono para verificar el dispositivo en el que se iba a instalar.
No pasó mucho tiempo antes de que mi colega abandonara su escritorio para hacer un café. Dejó su teléfono a la vista en su escritorio, así que ingresé su número de teléfono en mi nueva cuenta de WhatsApp. Su teléfono instantáneamente recibió un mensaje (en silencio) y pasé junto a su escritorio notando mentalmente el código. Lo escribí en el campo de verificación en mi teléfono de repuesto … Et voilà: tenía el control de su cuenta.
Pude ver todos sus chats en la aplicación pero no mensajes. Para llevar mi prueba al siguiente nivel, encontré un chat llamado «The Hunz», al que envié el mensaje «¡Hey! Ten un día de basura … ¡envié memes! a lo que recibí un montón de respuestas graciosas de sus amigos desprevenidos.
Cuando mi colega regresó a su escritorio con su café con leche, no se dio cuenta del hecho de que estaba en una conversación meme con sus amigas mientras me reía internamente. Pasaron unos minutos hasta que miró su teléfono y dijo en voz alta «Eso es extraño, he recibido un código de WhatsApp por alguna razón». Noté su mirada pensativa, pero luego supe que todo lo que hizo fue eliminarlo.
Entonces decidí aclararme y le conté lo que acababa de pasar. No podía creer lo fácil que había sido hacerse cargo de su cuenta y sintió que debería haber más seguridad para los usuarios típicos. Mencionó con razón que muchas personas dejan sus teléfonos sin vigilancia pero no piensan en ello, incluso en lugares públicos como restaurantes y bares. Pronto invertí mis movimientos hacia su teléfono y la puse firmemente de nuevo en control de su cuenta y luego le ofrecí consejos sobre cómo detener ese ataque.
Entonces, ¿cómo puedes mantenerte a salvo si usas WhatsApp?
En primer lugar, si usas WhatsApp debéis desactivar las vistas previas en tus mensajes SMS. Esto puede sonar obvio, pero muchas personas desean la conveniencia de mirar los mensajes aún más rápidamente. Cuando las personas usan la verificación en dos pasos (también conocida como autenticación de dos factores) sin una aplicación de autenticación, tienden a recibir códigos enviados por SMS, pero si se pueden ver en una pantalla bloqueada, no tienen sentido para un usuario que se ha dejado su teléfono desatendido.
Por lo tanto, en segundo lugar, nunca debéis dejar tu móvil desatendido. He visto a innumerables personas en el tren quedarse dormidas con sus teléfonos en la mesa o incluso ir al baño mientras dejan sus teléfonos rodeados de extraños. Además, hay muchas manzanas podridas en las empresas. Así que incluso si confía en sus colegas, siempre existe la posibilidad de que otra persona en el negocio intente este vector de ataque, por lo que es mejor nunca dejar su dispositivo solo.
Finalmente, hay una forma aún mejor de proteger su cuenta que debe completarse en este momento. WhatsApp creó su propia verificación de dos pasos para la aplicación hace unos años, que es simple de seguir y evitará que este ataque tenga éxito. A continuación se muestra el proceso de cómo hacerlo, ¡así que abre la aplicación y configúrala!
Cómo configurar la verificación en dos pasos en WhatsApp
Si usas WhatsApp, dirígete a Configuración/Cuenta/Verificación en dos pasos y haz clic en Activar. Luego, ingresa un código de seis dígitos que no olvidarás.
Luego ingresa tu dirección de correo electrónico como un extra a prueba de fallas. Finalmente, verás la confirmación de la verificación en dos pasos configurada en tu teléfono, por lo que será mucho más difícil para alguien poder secuestrar tu cuenta o transferir tus mensajes a otro móvil.
Ahora se te pedirá el PIN en momentos aleatorios cuando abras WhatsApp. No siempre se abre la aplicación, por lo que no debería ser un inconveniente.
Sin embargo, lo preparará mejor para disfrutar de una tecnología más segura.
:)