Si hace unos días el Instituto Nacional de Ciberseguridad alertaba de una nueva estafa que usaba WhatsApp y Bizum para robar dinero a los contactos que se tienen registrados en la app, ahora tenemos una nueva variante.

La táctica que relataba el INCIBE, a partir del testimonio de una víctima que se había puesto en contacto con el organismo, consistía en robar la cuenta usando el método de compartir pantalla. Esto es, utilizar cualquier excusa para que el usuario objetivo comparta la pantalla de su móvil con el estafador, que obviamente esconde su identidad, y robarle la cuenta aprovechando la notificación del código de seguridad, visible en la pantalla compartida, que le llega cuando intentan instalar su cuenta en otro dispositivo. Una vez obtenida, el atacante, bajo la identidad de la víctima, se dedica a realizar peticiones de dinero de forma urgente por Bizum.

Una estrategia similar ha sufrido el empresario Sascha Badelt, quien ha relatado su caso en una publicación en LinkedIn. Lo que difiere en este caso es la forma de robar la cuenta para tratar de sacar el dinero a los contactos que tenga.

Badelt, que tardó 48 horas en recuperarla tras el incidente, explica que el ataque comenzó con el mensaje de un contacto con el que había hablado poco antes. Lo que él no sabía es que, en ese tiempo, le habían robado su cuenta y estaba tratando con el estafador que también iba a hacerse con la suya.

Buenas tardes, necesito que me hagas un favor

Así que cuando este lunes le dijo ‘Buenas tardes, necesito que me hagas un favor’ junto a un emoji de dos manos suplicando, Badelt, ocupado con sus tareas, no sospechó nada.

‘Cambié de móvil y estoy tratando de transferir mi WhatsApp al móvil nuevo y no me llega el código. Puedo enviar mi código a tu móvil y tú me reenvías?’, explicó el ciberdelincuente. ‘Claro’, respondió Badelt.

El código al que se refiere el atacante es el que Meta envía al número de teléfono del usuario que está instalando WhatsApp para confirmar su identidad, y su obtención le permite tomar el control de la cuenta instalándola en otro dispositivo. Badelt no tenía habilitada la verificación en dos pasos de WhatsApp, que le habría librado de caer en el engaño, dado que requiere el PIN del teléfono o identificación biométrica que no están al alcance del estafador.

Tras perder la cuenta, sus contactos comenzaron a recibir peticiones de dinero a través de Bizum, de las que convenció a un número de personas que el empresario no precisa. ‘Gracias por la confianza y os ayudaré a todos a recuperar el dinero (los bancos lo gestionan con Bizum)!’, afirma Badelt.

La historia de Badelt es un ejemplo más de lo fácil que resulta ser engañado a través de plataformas modernas como WhatsApp y de la necesidad de aprovechar todas las herramientas de seguridad que proporcionan, como la verificación en dos pasos.