Descubierto un truco que permite a los piratas informáticos robar cuentas de WhatsApp y obtener acceso a los mensajes y contactos de las victimas, haciendo uso de los servicios de que prestan los operadores móviles.
Este método está basado en el servicio de desvió de llamadas automatizado que ofrecen los operadores móviles a un número de teléfono completamente diferente cuando se realiza el envío del código de verificación de la cuenta a través de una llamada de voz.
El truco está en el código MNI o código USSD para robar las cuentas de Whatsapp
Luego de este descubrimiento, el CEO y fundador de la empresa CloudSEK, Rahul Sasi, ha hecho publico algunos detalles sobre el método que están utilizando los piratas informáticos para secuestrar tu cuenta de WhatsApp. Por lógica, el atacante necesitará saber el número de teléfono de la victima y luego hacer un poco de ingeniería social.
Sasi ha mencionado que los piratas necesitarán convencer a la victima para que realice una llamada a un número que inicie con el código MNI que el operador móvil previamente ha configurado para el desvió de las llamadas. El código MNI es distinto, y podrá desviar todas las llamadas a un número diferente, esto solo debería pasar cuando la línea está ocupada o no hay tono.
Cabe mencionar que estos códigos de los que hablamos empiezan con (*) y finalizan con (#), son muy fácil de encontrar y casi todos los operadores móviles los admiten.
Cómo se realiza el robo de la cuenta de WhatsApp
Según ha explicado Sasi en su perfil de LinkedIn, primero recibes una llamada del atacante que te convencerá de hacer una llamada al número » **67*<número de 10 dígitos> o *405*<número de 10 dígitos>«, luego de la llamada, su WhatsApp se cerrará y los atacantes tendrán el control total de la cuenta.
¿Pero qué ha pasado? pues el número al que has marcado es una solicitud de servicio para el reenvió de llamadas, el cual se activará cuando su número está ocupado o sin tono.
El atacante lo engañó para que desviara sus llamadas a un número de su propiedad cuando estaba ocupado. Ahora en el backend, el atacante activa el proceso de registro de WhatsApp para su número y elige la opción de enviar OTP a través de una llamada telefónica.
Dado que su teléfono está activado, la OTP irá al teléfono del atacante y se acabó el juego para usted. Se puede usar el mismo truco para hackear la cuenta de WhatsApp de cualquier persona si el atacante tiene acceso físico a su teléfono y tiene permiso para hacer una llamada.
Cada país y proveedor de servicios tiene un número de solicitud de servicio similar, por lo que este truco funciona en todo el mundo. Después de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo y habilitar la autenticación de dos factores (2FA), lo que evita que los propietarios legítimos recuperen el acceso.
Detalles a tener en cuenta
Vía Bleeping Computer, el atacante debe asegurarse de que utiliza un código MMI que reenvía todas las llamadas, independientemente del estado del dispositivo de la víctima. Por ejemplo, si el código MMI solo reenvía llamadas cuando una línea está ocupada y no para las llamadas en espera, esto puede hacer que el secuestro de su cuenta falle.
También, cuando el atacante se hace con su cuenta, automáticamente recibirá un mensaje que su cuenta está registrando otro dispositivo, sin embargo, muchos usuarios podrían dejar pasar esta advertencia.
Si el desvío de llamadas ya se activó en el dispositivo de la víctima, el atacante debe usar un número de teléfono diferente al que usó para realizar la redirección, un pequeño inconveniente que podría suponer más ingeniería social.
La pista más clara de actividad sospechosa para el usuario objetivo ocurre después de que los operadores móviles activan el desvío de llamadas para su dispositivo, ya que la activación viene con una advertencia superpuesta en la pantalla que no desaparece hasta que el usuario la confirma.
Incluso con esta advertencia muy visible, los delincuentes aún tienen buenas posibilidades de éxito porque la mayoría de los usuarios no están familiarizados con los códigos MMI o la configuración del teléfono móvil que desactiva el desvío de llamadas.
Para protegerse de este ataque solamente tiene que activar la protección de autenticación de dos pasos en WhatsApp, y listo.
