un 'phishing' más común de lo que parece

Así han 'hackeado' el WhatsApp de Albert Rivera: el engaño que te puede pasar a ti

¿Cómo puede ser que alguien consiga engañar a un líder político nacional como Albert Rivera y se haga con su cuenta de Whatsapp? No es tan raro (ni tan difícil) como parece: te lo explicamos

Foto: Foto: EFE/Manuel Bruque.
Foto: EFE/Manuel Bruque.

El pasado viernes, Albert Rivera denunció ante la Guardia Civil que su WhatsApp había sido 'hackeado'. El líder de Ciudadanos fue víctima de un engaño mediante el que alguien consiguió hacerse con su cuenta en la 'app' de mensajería instantánea y, por tanto, también con una agenda de contactos y un historial de chats de semejante relevancia.

El asunto plantea algunas cuestiones interesantes. ¿Cómo puede alguien robar la cuenta de WhatsApp de un líder político a nivel nacional? ¿No ha sido prevenido contra posibles ciberataques? ¿Es tan fácil robar una cuenta de WhatsApp de este modo a una persona de la relevancia de Rivera? Lo cierto es que sí. Este ha sido el método.

Así le robaron la identidad a Albert Rivera

Lo que le ha pasado al líder de Ciudadanos en realidad es un 'phishing' de libro, es decir, una suplantación de la personalidad. Atendiendo a los detalles de los hechos y la investigación, el robo se dio en tres fases bien diferenciadas:

1.- "Me han robado la cuenta". Para que todo se entienda mejor, imaginemos que el número de teléfono de Albert Rivera es el 676a42k8h. El ciberdelincuente quiso identificarse en WhatsApp con ese número de teléfono, así que entró en WhatsApp y denunció que la cuenta de su número, el 676a42k8h, había sido robada. En esos casos, lo que hace WhatsApp para identificar al propietario legítimo es enviarle un código de verificación vía SMS. Otra opción es que el ciberdelincuente asegurase ser dueño del 676a42k8h y solicitase un cambio de número. En ambos casos, WhatsApp manda un código de verificación a dicho número a través de SMS.

2.- Suplantación de WhatsApp. De manera paralela, el ciberdelincuente, haciéndose pasar por un servicio legítimo de WhatsApp, envió un mensaje a Albert Rivera diciéndole que su cuenta había sido robada. Además, le pidió que, en ese mismo chat, pusiese el código de verificación que había recibido mediante SMS. Rivera picó y envió dicho código.

3.- Robo de cuenta. Una vez tuvo el código de verificación, el ciberdelicuente pudo identificarse como legítimo dueño del número 676a42k8h y, por tanto, de la cuenta de Rivera. Fue entonces cuando, según la información adelantada por 'El Mundo', tuvo acceso a su historial de chats y a su agenda de contactos.

Un método (no muy) sofisticado

La suplantación de identidad 'online' es algo medianamente frecuente entre ciberdelincuentes, aunque con algunos matices distintos a los de este caso. La mayoría de veces este 'phishing' se suele hacer vía 'e-mail', alertando al futuro engañado de que alguien le ha robado la cuenta de WhatsApp, del banco, de su correo electrónico, etc.

Además, cuando se solicita un código de verificación, una contraseña o algo similar, no se suele pedir en una conversación a través de WhatsApp, como ha pasado con Rivera, sino proporcionando un 'link' en el que la víctima deberá pinchar para meter sus datos. Será entonces cuando al engañado se le abrirá una web que aparente ser la de la plataforma robada (WhatsApp, Gmail, Facebook, el banco...), meterá sus datos y se consumará el robo.

"Personas como Rivera deben recibir formación de ciberseguridad y contar con gente capacitada"

Y en el caso de Albert Rivera, ¿qué le pasará al ladrón? Poco se sabe de él, aunque seguramente no sea fácil de coger: "Las posibilidades de pillar al delincuente dependerán del caso. Imagino que no ha utilizado un teléfono suyo legítimo, dado que podría facilitar su identificación", asegura a este diario el abogado Sergio Carrasco.

Más allá del robo en sí, lo que a Carrasco le sorprende es que el líder de Ciudadanos haya picado: "Es importante que personas de interés, como es el caso de Rivera, no solo reciban una formación inicial en materia de ciberseguridad, sino que además cuenten con gente capacitada realmente para una formación continua y un seguimiento. Una vulnerabilidad de este tipo habría aparecido ante una auditoría con actuaciones de 'redteam' [grupos que se dedican a atacar a empresas precisamente para alertarlas de sus fallos de seguridad] y podrían haberse adoptado medidas para evitarlo".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
23 comentarios
Por FechaMejor Valorados
Mostrar más comentarios