Desde que existen las redes sociales, existen los bulos virales sobre ellas. El último de estos tiene que ver con los cambios en la política de privacidad de WhatsApp que modificarían las reglas del juego de las redes. ¿Es cierto esto? Si bien es seguro seguir utilizando WhatsApp, su llegada al imperio Facebook (fue comprada por Zuckerberg en 2014) ha ido inclinando la balanza. Los datos más importantes y sensibles que manejamos en WhatsApp son nuestros mensajes y todas las comunicaciones que se producen en la app. Estos seguirán siendo privados gracias al famoso cifrado de extremo a extremo que aparece siempre que iniciamos un nuevo dialogo. Es decir, nadie más que el emisor y el receptor de un mensaje podrán leerlos. Tanto es así, que ni la propia WhatsApp tiene forma de acceder al contenido que enviamos a ninguno de nuestros contactos. O casi nadie…

De acuerdo con los expertos de ciberseguridad de Panda Security, cuando subimos un respaldo o backup del historial de mensajes a la nube de Google o de Apple, esas copias de seguridad dejan de estar cifradas. Por ahora, se cree que no se han producido filtraciones, pero es una puerta más a la que pueden golpear los hackers y lo cierto es que Apple y Google pueden acceder a toda esa información, invalidando, por tanto, el propósito del cifrado de extremo a extremo.

Pero hay más. Al igual que ocurre con otras redes sociales, WhatsApp recopila información que cruza con otras plataformas de Facebook, gracias a ello sus algoritmos pueden cruzar información de big data (como tus contactos, tus redes sociales, tus intereses) para saber por ejemplo, con quien conversas, simplemente cruzando información. Y más aún si utilizamos muchas redes.

Lo recomendable es cambiar algunos puntos de la configuración de la aplicación para seguir usándola de la forma más segura posible. “Lo más sensato es contar con capas de seguridad extra que velen por la seguridad de toda nuestra identidad digital, no de los dispositivos de forma individual – advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security –. Debemos tener en cuenta que cada día tenemos más dispositivos conectados a las mismas plataformas y, con que un criminal entre en uno de ellos, puede acceder a toda la información sensible que tenemos en el mundo digital”.

Robar nuestra cuenta

Lo segundo es poner todas las trabas posibles para evitar que los ciberdelincuentes no nos roben nuestra cuenta. Aunque es cierto que si un delincuente virtual se apodera de tu cuenta no puede acceder a ninguno de los mensajes que hayas recibido antes del ataque, está claro que recibirá todos los mensajes que nos envíen durante el tiempo que tengan el control de nuestra cuenta. Además, podrán ver toda la información y los contactos de quienes nos escriban durante ese tiempo.

“Uno de los ciberataques que más ha aumentado en 2020 ha sido el del robo de credenciales para acceder a WhatsApp – añade Lambert –. Sin embargo, los hackers no suelen usar malware para esto. Se sirven de la ingeniería social y de mensajes estándar para engañar a sus víctimas. En concreto, las engañan para que les envíen el SMS de activación de WhatsApp cuando se da de alta la app en un teléfono nuevo”.

El engaño es bastante sencillo y es muy fácil caer en él: el ciberdelincuente, que previamente ha robado la cuenta de una persona que te tiene en su lista de contactos, te envía un mensaje similar a este: “Perdona, pero por error puse tu número como teléfono de recuperación de WhatsApp y te han enviado un SMS con un código. Por favor, ¿puedes reenviármelo? Es que si no, no puedo instalarlo en el móvil nuevo. Gracias”

Cuando la víctima le envía ese mensaje, lo que realmente está haciendo es darle la clave de acceso a su cuenta de WhatsApp. A partir de ese momento, el ciberdelincuente se hace con el acceso de la cuenta durante el tiempo que tarde la víctima en darse cuenta del engaño y consiga recuperarla.

Afortunadamente, este riesgo es bastante fácil de evitar si se configura WhatsApp correctamente. Desde hace algunos meses, es posible agregar un número PIN secreto en la aplicación que hay que introducir antes de empezar la app. Es molesto, sí, pero sin este código, el atacante no podrá secuestrar la cuenta, incluso si se apodera de ese código SMS.