Una vez instalada la app maliciosa cualquier mensaje que llegue al dispositivo de la víctima será respondido automáticamente con un mensaje personalizado que incluye un enlace para descargar la falsa app.

Si bien la amenaza aparentemente busca desplegar publicidad invasiva en el teléfono de la víctima, este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware.

Por último, los atacantes también suelen recurrir a la distribución de malware a través de correos de phishing que se hacen pasar por comunicaciones oficiales de WhatsApp.

Falsas actualizaciones con nuevas funcionalidades

De tanto en tanto se reactivan estas campañas fraudulentas que hacen referencia al lanzamiento de una versión de la aplicación con funciones nuevas. Hemos visto ejemplos de estos engaños invitando a descargar WhatsApp rosa y de otros colores, como azul o nombres como WhatsApp Plus. La de WhatsApp rosa, por ejemplo, lejos de ser una campaña inofensiva lo que hacía era descargar un troyano en el teléfono de la víctima.

Estafas de suplantación de identidad

Ya sea robando el código de verificación o mediante SIM Swapping, una vez que obtienen acceso los ciberdelincuentes utilizan las cuentas de diferentes formas. Por ejemplo, suplantando la identidad de las víctimas. Para ello suelen descargar la lista de contactos, la imagen de perfil de la cuenta y otra información relevante en caso de que quieran crear un perfil falso con otro número, pero también se comunican directamente desde la cuenta robada con familiares y amigos para solicitar dinero por una supuesta emergencia o convencerlos para realizar alguna otra acción.

Hace unos meses conocimos un caso de un usuario que sufrió el compromiso de su cuenta Outlook y los atacantes descargaron una copia con la lista de contactos del correo, fotografías y su nombre completo. Luego, con ésta y otra información recolectada, crearon cuentas de WhatsApp y se contactaron con su lista de contactos suplantando la identidad de la víctima y ofreciendo dólares para vender.

Pero también es importante recordar que hay fraudes de suplantación de identidad que no involucran el robo de la cuenta de WhatsApp, ya que como mencionamos antes, los cibercriminales contactan a las potenciales víctimas desde números desconocidos haciéndoles creer que son un contacto que cambió de número.

Por último, otro modelo similar, pero con algunas características diferentes, tiene que ver con casos en los cuales los estafadores utilizan perfiles falsos de WhatsApp haciéndose pasar por organismos gubernamentales. Los delincuentes se comunican a través del chat o llamadas de voz desde cuentas de empresa que incluyen el logo del organismo. Entonces, un falso representantes intenta hacer creer a la víctima que es elegible para recibir una ayuda económica o bono del Estado.

Sin embargo, para poder acreditar la ayuda económica en su cuenta los delincuentes solicitan un código y en realidad lo que entrega la víctima confundida son las claves para acceder a la cuenta bancaria. Hubo hace un año un caso muy sonado de una víctima de este tipo de fraude que terminó con los cibercriminales sacando un préstamo desde la cuenta bancaria robada.

Secuestro de cuenta

Cuando instalamos la app de WhatsApp en un equipo nuevo debemos ingresar el número de teléfono asociado a nuestra cuenta. Luego, un mensaje vía SMS llegará con un código de verificación de seis dígitos para validar la identidad del usuario. Este proceso es aprovechado por los ciberatacantes que buscan tomar el control de las cuentas, tanto de usuarios como de empresas.

¿Cómo? la víctima recibe en su teléfono un mensaje de texto o vía WhatsApp solicitando si por favor puede reenviar el código de seis dígitos que por error se envió a su teléfono. El mensaje puede ser de un contacto que perdió el acceso a su cuenta o de un número desconocido. Si la víctima desprevenida accede y reenvía el código que llegó inesperadamente, es probable que pierda el control de su cuenta de WhatsApp si no tenía habilitada la autenticación en dos pasos.

Herramientas para espiar

Solo basta con ver las tendencias de búsqueda en Google para corroborar que “espiar WhatsApp” es un término muy buscado, lo cual delata que existe un interés que se mantiene a lo largo del tiempo de usuarios que buscan la forma de espiar las conversaciones de la cuenta de un tercero. Y esto los estafadores lo saben. Por eso aparecen indexados en Google una gran cantidad de sitios de dudosa reputación que prometen una solución para espiar. El objetivo verdadero suele ser mostrar anuncios y recolectar información de quienes deciden probar estas aplicaciones, extensiones o servicios online.

Hemos visto también que los ciberdelincuentes se hacen pasar por la cuenta oficial del sector de la salud para distintos tipos de engaño, y uno de ellos es robar el código de verificación de WhatsApp. Por ejemplo, en Argentina estafadores se hicieron pasar por el Gobierno y se contactaron con usuarios para asignar turnos para la vacuna contra el Covid-19 con el verdadero objetivo de robar el código de verificación de WhatsApp para luego estafar a sus contactos y descargar su información.

Otra forma muy recurrente que utilizan los cibercriminales para robar cuentas es a través del SIM Swapping, aunque esto va más allá de WhatsApp y permite el secuestro de otras cuentas, incluso las credenciales bancarias. SIM Swapping se produce cuando los delincuentes logran engañar a la compañía telefónica y obtienen un chip con tu línea telefónica haciéndose pasar por ti. De esta manera, toman el control de tu línea telefónica y el SMS con el código de verificación llegará al atacante que tiene el control de los SMS.

Probablemente los delincuentes también cuentan con algunos datos personales de la víctima, como el número de documento, fecha de nacimiento, etc. Por eso es tan importante ser más cautos a la hora de compartir nuestros datos personales, por más que parezcan poco relevantes.

Falsas ayudas económicas

Este tipo de campañas de ingeniería social se observaron mucho durante la pandemia, con estafadores que buscaban aprovechar las necesidades económicas de los ciudadanos para engañarlos y robar sus datos personales. Vale la pena recordar que los datos personales, como nombre, fecha de nacimiento, número de documento, nacionalidad, entre otros, además de ser comercializados en foros, son utilizados por los delincuentes para realizar otros fraudes.

El engaño de las falsas ayudas económicas suele comenzar por un mensaje sobre un programa de ayuda solidaria para determinados sectores de la población e invitan a quienes cumplan con los requisitos inscribirse para recibir la ayuda. Como parte del proceso los usuarios deben completar un formulario, pero lamentablemente esta información es la que recolectan quienes están detrás de este tipo de engaño.

Muchas de estas campañas utilizan la imagen y/o el nombre de algún organismo gubernamental o de algún programa legítimo de alguna fundación o incluso una compañía. Si bien hemos observado que el objetivo suele ser recolectar información personal, también hemos visto campañas que buscan monetizar el engaño a través de la instalación de adware o de algún mecanismo para desplegar publicidad no deseada.

Engaño del falso aniversario de una marca

Este engaño comienza con un mensaje que llega a la potencial víctima y que indica que una marca o servicio conocido está celebrando su aniversario y que por ello está ofreciendo algún tipo de regalo o beneficio. El mensaje incluye un enlace para que el usuario pueda acceder a su premio, pero antes de obtenerlo suele tener que completar una encuesta. Luego, para continuar debe compartir el mensaje con determinada cantidad de contactos o grupos de WhatsApp. Sin embargo, el regalo o premio nunca se concreta y el usuario es redirigido a sitios que despliegan publicidad invasiva. En algunos casos las campañas maliciosas solicitan a la víctima que descargue aplicaciones o complementos sospechosos que generalmente terminan en la instalación de algún tipo de adware que despliega publicidad invasiva y recolecta información del usuario.

Si bien la excusa más común suele ser la celebración del aniversario de una marca conocida, también este tipo de fraude se aprovecha de fechas especiales, como BlackFriday, pascuas o simplemente una promoción única.

Recomendaciones

La principal recomendación es aprender a desconfiar. No hacer clic en cualquier enlace que recibimos ni completar con nuestra información personal cualquier formulario que nos llega. Lo segundo es habilitar la autenticación en dos pasos en WhatsApp, y en lo posible utilizando una app de autenticación y no el SMS. De esta manera evitamos el secuestro de cuentas.

Tengamos malicia sana, evitemos ser victimas

@adogel / t.me/seguridadintegral

Adolfo Gelder

adogel@gmail.com