Una nueva táctica para hackear cuentas de WhatsApp ha sido revelada, explotando una funcionalidad legítima de la aplicación de mensajería a través de la manipulación del usuario. El ataque cibernético comienza con el envío de un mensaje.
Investigadores de Gen han descubierto una “nueva campaña de toma de control de cuentas” en WhatsApp. Para hacerse con el control de una cuenta, los ciberdelincuentes explotan una función de la aplicación de Meta: el emparejamiento de dispositivos. Para aprovechar esta función, los atacantes deben manipular primero a la víctima. La estrategia ha sido denominada “GhostPairing”, o “emparejamiento fantasma”, por los investigadores.
A leer también: por qué no debes abrir ese misterioso archivo ZIP en WhatsApp
“¡Oye, acabo de encontrar tu foto!”
La ofensiva comienza de manera clásica con el envío de un mensaje. Para enviarlo, los piratas informáticos utilizan un cuenta de WhatsApp ya hackeada previamente. El mensaje puede provenir de su pareja, un familiar, un amigo o un colega. El mensaje debe provocar una reacción en la víctima, por lo que los atacantes suelen optar por “¡Oye, acabo de encontrar tu foto!”.
“El contenido variaba ligeramente, pero la estructura se mantenía igual. Los mensajes eran breves y generalmente mencionaban una foto”, explica Gen en su informe.
Intrigada, la víctima abre el mensaje. En él, encontrará un enlace “que se muestra como una vista previa, similar a como lo hace Facebook”. Esto lleva a la víctima a creer que el enlace la redirigirá a una foto suya publicada en Facebook. El usuario hace clic en el enlace para descubrir de qué foto se trata. La red social le pide entonces que se identifique para poder ver la foto. Obviamente, se trata de una página falsa que imita la interfaz de Facebook, con el logotipo de la plataforma y todos los botones habituales.
“La gente espera que Facebook solicite alguna forma de confirmación de vez en cuando. Ver un botón de inicio de sesión o un paso de verificación parece, por lo tanto, natural”, indican los investigadores.
Como siempre, es posible darse cuenta del engaño consultando la URL de la página. En este caso, se han utilizado nombres de dominio como photobox[.]vie, postsphoto[.]vie, votrephoto[.]vie, photopost[.]live, votrephoto[.]monde, top-foto[.]vie y fotoface[.]top. En la URL, los piratas informáticos se han tomado la molestia de incluir palabras como “login” y “post/facepost”.
Una función de emparejamiento desviada
La página falsa solicitará al usuario que proporcione su número de teléfono de WhatsApp, asegurando que este es el procedimiento normal para iniciar sesión en Facebook. Los piratas informáticos se apoderarán del número de teléfono y la segunda parte del ciberataque podrá comenzar. Los atacantes ingresarán el número de teléfono en la función de emparejamiento de WhatsApp, que permite asociar un nuevo dispositivo a una cuenta existente. En otras palabras, utilizarán el número para solicitar a WhatsApp que agregue su propio dispositivo, y su propio navegador, a la cuenta del usuario. Este proceso permite utilizar una cuenta de WhatsApp en un ordenador, ya sea a través de WhatsApp Web o mediante la aplicación de escritorio.
Obviamente, no basta con el número de teléfono para asociar un dispositivo a una cuenta. Por seguridad, WhatsApp generará “un código de emparejamiento que solo es visible para el propietario de la cuenta”. Este código es recuperado por los piratas informáticos, quienes luego lo transfieren a la víctima, a través del mismo sitio web falso utilizado desde el inicio del ataque. El sitio web le pide al objetivo que “ingrese este código en WhatsApp para confirmar la conexión y ver la foto”.
Deseosa de ver la famosa foto, la víctima obedece e ingresa el código en WhatsApp. Desde el punto de vista de la víctima, el proceso solo sirve para conectarse a Facebook a través de WhatsApp. Aquí es donde se cierra la trampa sobre el usuario. El pirata informático ahora es libre de usar la cuenta de WhatsApp de la víctima como desee. Desde el “punto de vista de WhatsApp, el propietario de la cuenta acaba de aprobar un nuevo dispositivo vinculado utilizando el código correcto”. Por lo tanto, no hay razón para que la aplicación de mensajería se dé cuenta del ciberataque.
A leer también: 3,2 millones de números de WhatsApp están a la venta en la dark web
Un ciberataque formidable e invisible
El “navegador del atacante” ahora es reconocido como un dispositivo de confianza por WhatsApp. La cuenta, ahora comprometida, puede ser utilizada para engañar a otros usuarios de Internet o para propagar malware o enlaces fraudulentos. El atacante es libre de leer el historial de conversaciones ya sincronizadas, recibir en tiempo real todos los nuevos mensajes, consultar o descargar contenido multimedia (fotos, videos, notas de voz) o incluso robar información confidencial intercambiada en los chats.
Mientras que su cuenta está en manos de un ciberdelincuente, el usuario no se da cuenta de nada. En su teléfono inteligente, su aplicación WhatsApp continúa funcionando con total normalidad. Puede enviar y recibir mensajes o hacer llamadas. De “muchas víctimas ignoran que se ha agregado un segundo dispositivo en segundo plano, lo que hace que la estafa sea aún más peligrosa”, subraya el informe de Gen. La agencia de ciberseguridad de la India indica que la táctica de “GhostPairing” es susceptible de ser explotada activamente por grupos criminales.
¿Cómo protegerse de los ataques “GhostPairing”?
Para evitar caer en la trampa, desconfíe primero de los mensajes que indican que se ha publicado una foto suya en Facebook. Esta es una de las tácticas más trilladas de los piratas informáticos, que se remonta a principios de la década de 2010, cuando Facebook se volvió imprescindible. Si recibe un mensaje de este tipo de un conocido, contáctelo a través de otra plataforma o por SMS para preguntarle si su cuenta de WhatsApp ha sido hackeada.
Lo más importante es tomarse el tiempo de verificar qué dispositivos están conectados a su cuenta de WhatsApp. Esta verificación permite asegurarse de que ningún navegador desconocido tenga derecho a acceder a su aplicación de mensajería sin su conocimiento. Para ello, vaya a la aplicación WhatsApp, luego a Configuración y a Dispositivos vinculados. A continuación, verá la lista de todos los dispositivos que están conectados a su cuenta. Desconecte aquellos que no reconozca.
👉🏻 Siga las noticias tecnológicas en tiempo real: agregue 01net a sus fuentes en Google y suscríbase a nuestro canal WhatsApp.
Fuente:
Gen Digital
