Lorenzo Martínez - Experto en seguridad informática

El usuario, otra vez el eslabón más débil en la seguridad informática

El «hackeo» de la cuenta de WhatsApp de Albert Rivera, líder de Ciudadanos, pone de manifiesto la técnica para lograr engañar a los usuarios a través de los servicios digitales

Lorenzo Martínez
Actualizado: Guardar
Enviar noticia por correo electrónico

Hace unos días cenábamos con una noticia en la que Albert Rivera, el presidente del partido político Ciudadanos, denunciaba el acceso ilegítimo al control total de la aplicación WhatsApp de su teléfono móvil. En «El Confidencial» se ha publicado que Inés Arrimadas, su compañera política, evidencia haber recibido en su teléfono intentos del mismo tipo de ataque.

Por lo que mis ojos de perito informático deducen de las fotos que acompañan la noticia, la sucesión de hechos sería la siguiente:

Captura del mensaje de Albert Rivera
Captura del mensaje de Albert Rivera - EL CONFIDENCIAL

El primer paso: la víctima recibe uno o varios SMS falsos en los que el atacante envía códigos aleatorios de confirmación de Whatsapp. Estos mensajes servirán para preparar el terreno a lo que vendrá después.

El segundo paso: la víctima recibe un mensaje del atacante a través de WhatsApp, suplantando al proveedor del servicio, indicando que han detectado varios intentos de acceso a su cuenta, por lo que solicitan un código de seguridad recibido por SMS.

A la derecha se puede ver el mensaje a través de Whatsapp enviado por el atacante a la víctima.

Captura del mensaje de WhatsApp de Inés Arrimadas
Captura del mensaje de WhatsApp de Inés Arrimadas - El Confidencial

Como tercer paso, el atacante intenta registrar el número de teléfono de la víctima en su dispositivo, provocando que WhatsApp envíe un mensaje con un código de confirmación real.

Enntonces, como cuarto paso, la víctima, al creer que los intentos de acceso previos son de verdad, en realidad preparados por los SMS enviados por el atacante, cae en la trampa y envía a este el código de confirmación de WhatsApp.

Finalmente, el atacante introduce dicho código y tiene acceso, al menos, a los grupos de WhatsApp de la víctima en «el nuevo terminal». Como Whatsapp no puede estar configurado más que en un único teléfono, la víctima pierde el acceso a la aplicación WhatsApp en su dispositivo móvil, quedando a disposición total del atacante.

Foto real de un mensaje de verificación enviado por WhatsApp
Foto real de un mensaje de verificación enviado por WhatsApp

Quien quisiera llevar a cabo este ataque conocía los números de teléfono configurados en WhatsApp, tanto por Albert Rivera como por Inés Arrimadas. Esto puede haberse conseguido mediante el compromiso de la agenda de alguien que tuviera ambos contactos en la suya, o mediante encargo por parte de alguien que pudiera proveerlos.

La víctima picó el anzuelo porque previamente el atacante envió presuntamente SMS que permitieran hacer creíble la historia a posteriori. Además, bajo la presión de los SMS, y que para confirmar que no te «hackeen» la cuenta has de enviar un código de confirmación a alguien que se identifica como parte del servicio de WhatsApp, es fácil no caer en la cuenta que el número de teléfono que envía los SMS es un +34 6 (es decir, un móvil español), ni que el formato del mismo no es idéntico al que envía WhatsApp, ni en que el mensaje de la aplicación contiene erratas como «Ubicuación» en vez de «Ubicación».

Además, queda solo para técnicos ver que la dirección IP (seguramente inventada) que el atacante dice que ha sido la que ha intentado acceder, no está geolocalizada en España, sino en Suiza Quienes nos dedicamos a concienciar en ciberseguridad lo advertimos tajantemente hasta la saciedad: la utilización de sistemas de mensajería públicos y accesibles desde cualquier parte no deberían ser utilizados para compartir información sensible o que te pueda comprometer.

LORENZO MARTÍNEZLORENZO MARTÍNEZ