Robo de WhatsApp: la estafa que más crece y claves para evitarlo

Los mensajes extraños que llegan por WhatsApp, Facebook, Instagram y otras redes, deberían ser una señal de alerta a tener en cuenta: la persona que nos escribe quizás no sea la que pensamos sino un ciberdelincuente que se apropio del perfil y se prepara para estafarnos. Los famosos cuentos del tío digitales.

Uno de los fraudes más replicados en los últimos meses es el de gente que recibe mensajes de conocidos por WhatsApp o Instagram, pidiendo dinero ante una emergencia. El detalle es que siempre están muy apurados para evitar que la víctima pueda contactarse con el verdadero dueño de ese perfil o cuenta.

“Las estafas más comunes son primero las asociadas a compras en línea (pago por un producto y no me llega) y, luego, las asociadas al fraude bancario (consiguen bajo engaño mis credenciales de acceso a una cuenta bancaria o billetera virtual y la vacían). Comparando marzo 2019 a marzo 2020 y marzo 2020 a marzo 2021 pasamos de 2.581 a recibir un total de 14.583. El aumento, en términos porcentuales, corresponde a un 465% aproximadamente. Pasamos de 1305 casos de fraude a 8.559, lo que representa un 58,7% aproximadamente del total de los casos. De accesos a cuentas, pasamos de 229 a 1220″, explicó Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia.

“Desde principios de año hemos visto cómo se han multiplicado las estafas por correo electrónico, aplicaciones maliciosas, fraudes de ecommerce y las estafas en redes sociales”, le explicó a TN Tecno Rodrigo Montenegro, Director Cybersecurity de BTR Consulting. El especialista dio cifras: “En 2020 la cantidad de ataques online creció 300% y la de delitos efectivamente consumados 70%. En este 2021 la tendencia continua en alza. Las personas seguirán pasando muchas horas utilizando sistemas y dispositivos en entornos generalmente menos protegidos, por lo que es previsible que los incidentes sigan aumentando”.

Azzolin, detalló que hay dos variantes de estafas con WhatsApp, una en la que acceden a contactos de la víctima y le escriben desde un supuesto nuevo número. Y otro, el que más crece, en el que los criminales toman el control del WhatsApp del damnificado, hacen un “take over”, en palabras del especialista.

Desde Facebook, compañía dueña de WhatsApp, recomiendan habilitar la verificación en dos pasos “que actúa como una capa adicional de seguridad para las cuentas”, para protegerse de las estafas en la plataforma, lo mismo que sugieren los especialistas en ciberseguridad.

“Esta función permite el registro de un correo electrónico y un PIN de seis dígitos que se solicita periódicamente al usuario y que, además, es necesario para confirmar el número en WhatsApp. Este PIN, así como el código de verificación enviado por SMS, no debe compartirse con otras personas, ni siquiera con amigos cercanos o familiares”, explicó la compañía.

“Las redes sociales, las apps y los servicios de mensajería son el ingrediente preponderante para convertir al ciberdelito en la industria con mayor proyección de crecimiento. Usualmente esto es posible por múltiples vías, que hayas sido víctima de phishing, que tengas una contraseña trivial y muy fácil de descubrir en alguna de estas plataformas o que tu usuario y password de red social o tu cuenta de mail haya sido filtrada / expuesta y revendida en el mercado negro, ahora en poder de ciberdelincuentes”, afirmó Montenegro.

Según el director de ciberseguridad, “estos tipos de fraudes más frecuentes en la actualidad se basan en técnicas de ingeniería social o phishing, en las que suplantan la identidad de conocidos legítimos del usuario o simular ser empleados del centro de ayuda de las redes sociales” para engañar a la víctima y conseguir la información para acceder a sus cuentas.

Azzolin también relató algunos de los métodos más comunes, varios de los cuales ya fueron mencionados en otras notas de TN Tecno. “La clave acá es la forma en la que los criminales consiguen el código de verificación que manda WhatsApp para instalar una cuenta en un nuevo dispositivo: se lo dan las propias víctimas”, detalló el fiscal.

“Los medios que usan son principalmente dos: el primero es alrededor de una venta por internet. El supuesto comprador le dice al vendedor que le va a mandar un código para cargar el GPS y llegar al lugar donde retira la mercadería o para transferirle el dinero. Es el código de activación de Whatsapp. El segundo, un poco más artero en los tiempos que corren, es el código de activación de un turno para vacunarse contra el Covid-19, que le tenés que pasar al ‘operador’ que te llamó supuestamente de algún ministerio de salud”, concluyó Azzolin.

Nueva estafa por Instagram

Desde BTR Consulting registraron una campaña que se activó a principios de 2021, pero que en realidad recicló otra estafa identificada en 2020. Se la denomina “COPYRIGHT INFRINGEMENT” y funciona por Instagram.

“Las víctimas reciben un mensaje en sus cuentas de Instagram donde el remitente, generalmente una identificación verificada titulada ‘Centro de ayuda’ o ‘Help Center’, afirma que está asociado con el ‘Centro de COPYRIGHT INFRINGEMENT en Instagram’, detalló Montenegro.

Una vez que los ciberdelincuentes, logran extraer las credenciales de acceso a las redes sociales de las víctimas, simplemente asocian a la cuenta de IG, Facebook o Twitter otra cuenta de correo electrónico y la desvinculan del número de teléfono del dueño original. Entonces, cada vez que la red social envía un correo electrónico con el link para intentar recuperar la cuenta, se redirige automáticamente al correo del estafador.

El principal motor de esta industria de ciberdelito es el económico, los miles de seguidores se venden en los mercados ilegales, una cuenta de IG o Facebook puede tener un valor de entre 55USD o 75USD, pedidos de solicitud de rescate a las víctimas, y por ultimo afectación de marca.

“El robo de credenciales, los errores y los ataques coordinados y lanzados a través de redes sociales son los tres vectores más comunes para los ciberdelincuentes. El phishing en las redes sociales está aumentando y los canales sociales representan el 8% de los vectores de ataque. Considerando un volumen aproximado de 8.5MM de usuarios y dispositivos online al mismo tiempo, se hace imprescindible continuar trabajando en la educación y concientización del peligro existente”, concluyó Montenegro.

Desde Facebook, para los casos de perfiles falsos de Instagram recomiendan denunciarla. Se puede completar un formulario en el Centro de Ayuda de Instagram, indicando violación de la propiedad intelectual y derechos de autor.

También recuerdan que los perfiles de empresas no suelen ser privados, las más grandes tienen el tilde de verificación azul y es muy raro que nos redirección a un sitio externo, fuera de Instagram, o que pidan datos personales o bancarios para acceder a una promoción.

Recomendaciones para no ser víctima de maniobras de este tipo o similares:

• Activá la función de “verificación en dos pasos” ingresando para ello, desde la aplicación, a la sección “Cuenta”, ubicada dentro de la sección “Ajustes” o “Configuración” -dependiendo del modelo de dispositivo-.
• En caso de recibir un mensaje en el que se brinde un código de verificación, evitá compartirlo con terceros por cualquier medio.
• Recordá que la plataforma no le solicita información a sus usuarios por medio de mensajes -SMS, WhatsApp u otros servicios de mensajería- ni a través de llamadas telefónicas.
• Si recibís un mensaje de WhatsApp proveniente de un abonado telefónico desconocido, es aconsejable bloquear y reportar al usuario a través de las opciones que aparecerán en pantalla.
• Verificá habitualmente en qué dispositivos se encuentran abiertas sesiones de WhatsApp Web, y evitá abrir sesiones en dispositivos de uso compartido.
• En caso de ser víctima de una maniobra de este tipo, informáselo rápidamente a tus contactos y denunciá lo ocurrido.

Además, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), ofrece asesoramiento telefónicamente al 011-5071-0040, por correo electrónico a denunciasufeci@mpf.gov.ar, o se puede concurrir a su sede ubicada en la calle Sarmiento 663, 6° Piso, Ciudad Autónoma de Buenos Aires.

Desde WhatsApp también brindaron consejos para implementar en el caso de un robo de cuenta de la plataforma de mensajería.

• Solicita la verificación de la cuenta a través de SMS. Reinstala WhatsApp, ingresa tu número de teléfono y confirma el código de seis dígitos que recibirás por SMS. De esa manera, la aplicación se cerrará automáticamente si es que cualquier otra persona está usando tu cuenta.
• Notifica a tus amigos y familiares. Muchos estafadores usan tu lista de contactos para solicitar información confidencial y depósitos en efectivo. Si tu cuenta es robada, comunícate con las personas cercanas para informarles de la situación y que nadie pueda hacerse pasar por ti. En caso de que una persona supuestamente conocida te solicite dinero, es recomendable que la contactes por teléfono para confirmar la autenticidad del pedido.
• Ponte en contacto con el equipo de servicio de WhatsApp. Envía un correo electrónico a support@whatsapp.com. El correo electrónico se puede enviar en español, con un Asunto como “Cuenta falsa / robada” y debe contener el número en formato internacional (+52 DDD …). Describe lo que sucedió con el mayor detalle posible en el cuerpo del correo electrónico.
• Ampliá tu capa de seguridad habilitando la verificación en dos pasos. La verificación en dos pasos permite registrar un correo electrónico y un PIN de verificación de seis dígitos si se intenta ingresar tu número de WhatsApp. Este código, al igual que los SMS de WhatsApp, no debe compartirse con nadie, ni siquiera con amigos y familiares.

Fuente: TN