Así pueden robarte la cuenta de WhatsApp con este sencillo truco

Un axioma conocido en ciberseguridad es que el eslabón más débil de un sistema es la parte humana. Y un buen ejemplo lo constituye un método para robar cuentas de WhatsApp, extremadamente sencillo, que solo requiere que la víctima realice una llamada desde su móvil para perderla sin posibilidad de recuperarla. Es un engaño que no necesita de ningún software ni conocimiento especializado y está al alcance de cualquiera, tal y como ha explicado el fundador y CEO de la compañía de protección de riesgos digitales CloudSEK, Rahul Sasi, en una publicación en Linkedin que recoge Bleepingcomputer.

El método aprovecha una herramienta de uso común con los operadores de telefonía que son los códigos MMI o Man Machine Interface, lo que suena mucho más “técnico” de lo que es en la práctica. Por un código MMI nos referimos a los que puede emplear cualquier usuario para establecer una determinada preferencia en el uso de su línea de teléfono.

Para el propósito que nos ocupa, servirían los códigos que permiten establecer un desvío de llamadas a otro número introduciéndolos en el móvil. Este tipo de códigos eran mucho más utilizados en la primera década de este siglo que en la actualidad, cuando resulta más conveniente realizar configuraciones desde las opciones del sistema operativo del teléfono que enviando el código al operador mediante una llamada, lo que facilita que la víctima los desconozca y sea más probable hacerla caer en el engaño.

Tal y como ha explicado Sasi, el atacante debe conocer el número de teléfono de la víctima y el operador al que pertenece la línea, algo para lo que basta una simple búsqueda en internet del número a intervenir. Sabiendo el operador, no hay más que consultar su página de soporte para conocer los códigos MMI que permiten configurar el servicio de desvío de llamadas para una línea de teléfono. El formato que emplean es **(Código MMI)*(número de destino)#.

El código, siempre de dos cifras, varía según el tipo de desvío de llamadas que se quiere establecer en la línea: de todas las llamadas o solo cuando el móvil está apagado o fuera de cobertura o cuando la línea está ocupada o no se responde la llamada. Para que la táctica funcione de la forma más efectiva, el atacante necesitará el que desvía toda llamada entrante a un segundo número de teléfono que estará en su posesión.

La única dificultad que tiene este engaño es hacer que la víctima marque en su móvil en su móvil el código MMI que desviará las llamadas, algo que no haría conscientemente y requiere cierta ingeniería social, que es lo que a los ciberdelincuentes se les suele dar bastante bien. Puede servir desde un SMS con cualquier tipo de gancho que requiera marcar el código MMI seguido del número del atacante a una llamada fraudulenta haciéndose pasar por cualquier tipo de servicio, empresa o promoción para convencer a la víctima.

Una vez se ha conseguido que desvíe las llamadas al número del atacante, este debe actuar rápidamente antes de que el legítimo propietario restablezca el funcionamiento de su número de teléfono. Registrará WhatsApp en su móvil con el número de la víctima y como método de verificación no escogerá la recepción de un SMS sino de un código de verificación de contraseña de un solo uso (OTP) mediante llamada de voz que llegará a su terminal por el desvío establecido previamente desde el número legítimo.

Una vez activado WhatsApp en su terminal, deberá establecer la verificación en dos pasos para impedir que la víctima pueda recuperar su cuenta, aún después de haber restablecido el correcto funcionamiento de su línea.

Cómo evitar que te roben la cuenta de WhatsApp usando un código MMI

La prevención es fundamental. Con la verificación en dos pasos que permite WhatsApp, el atacante no tendrá nada que hacer puesto que deberá introducir en su móvil un PIN que solo conoce el propietario.

Pero en el caso, probable dado que WhatsApp no lo exige por defecto, de que no la tenga habilitada, estar atento y actuar con rapidez es fundamental. Al activar el desvío de llamada, el teléfono de la víctima mostrará un mensaje en pantalla informando del cambio y en el momento de registrar WhatsApp en otro terminal la aplicación también informará del cambio que se está realizando.