WhatsApp: Mezclando churras con merinas.

Mientras que las ovejas de la familia de las churras proporcionan una excelente leche y carne, las merinas son conocidas por su lana blanca de alta calidad. Por lo que no es para nada una buena idea ordeñar una merina para aprovechar su leche o hacerse un abrigo con lana de una churra. Pese a que amabas puedan parecer ovejas, y lo son, sus características hacen que sean muy distintas aunque a simple vista parezca lo contrario.

Fig. Ovejas merinas

En el mundo ciber ocurre lo mismo, podemos tener dos ciberataques que parezcan iguales, pero en realidad sus diferencias hacen que no tengan nada que ver el uno con el otro, un buen experto en ciberseguridad deberá entender y ser capaz de identificar estas diferencias. Estos días hemos vivido una serie de ataques informáticos que han sido tratados y expuestos en los medios de comunicación, en algunos con mayor atino que en otros. Estamos acostumbrados, al menos yo lo estoy, que cuando se tratan temas ciber en un ámbito no técnico se cometan errores en cuanto a la interpretación o capacidades de un ciberataque. En cierto modo es normal y entendible, no son periodistas especializados en el mundo de las nuevas tecnologías, tan pronto tienen que comentar la noticia de un asesino que anda suelto, como si en Murcia ha llovido más de lo normal o si han aprobado alguna ley estrambótica. Pero si considero que tienen que tratar de rodearse de profesionales de la ciberseguridad que los asesoren cuando tengan que explicar algún tema complejo o que desconozcan, algunos me constan que sí lo hacen, ya que de no ser así, se generará una situación de alarma social y preocupación totalmente innecesaria.

Fig. Playa Carolina en Murcia

El motivo de escribir este artículo es dar respuesta de la forma más adecuada y tranquilizadora posible a todos esos conocidos y seguidores en RRSS que me escribían preocupados por no saber qué hacer para evitar que les roben el Whatsapp y les vacíen su cuenta bancaria. Todo ello a raíz de una noticia aparecida en algún medio de comunicación.

Aunque para los expertos en ciberseguridad esa noticia no tenía mucho sentido, en realidad si lo tiene, pero no de la forma que estamos pensando. No hace muchos años salían de vez en cuando noticias sobre ciberataques, cada una de ellas distinta a la anterior, no existía relación entre ellas, pero eso se terminó. Nos tenemos que acostumbrar, por mucho que me duela decirlo, que el cibercrimen está en aumento y cada día vamos a ir viendo ciberataques más elaborados, ciberataques que son similares entre sí y que se ejecutan al unísono, pero no por ello ejecutados por las mismas personas u organizaciones criminales. Pensad que las organizaciones criminales que se dedican al cibercrimen no tienen un calendario en común en el que van reservando fecha para realizar sus fechorías y que otras organizaciones no le “pisen” el día. La realidad es que distintas organizaciones pueden ejecutar un ciberataque de similares características en la misma fecha sin haberlo acordado previamente.

Fig. Calendario de ciberataques de un día cualquiera

Esto fue lo que ocurrió en esta ocasión, por una lado, tenemos una operación de Policía Nacional en la que se desmantela una organización criminal formado 19 cibercriminales que fueron detenidos, los cuales obtuvieron un botín de más de 450.000€ mediante transferencias bancarias fraudulentas realizadas con la técnica del SIM Swapping. Por otro lado, tenemos un aviso policial en el que se notifica el robo de cuentas de Whatsapp a través del SMS de verificación de la cuenta. Hechos totalmente independientes, pero que al parecer se ha creado cierta confusión al relacionarlos.

Fig. Operación Policía Nacional SIM Swapping

Así que una vez explicada la diferencia entre churras y merinas, o lo que es lo mismo, entre SIM Swapping o Secuestro de Whatsapp, os voy a explicar detalladamente en qué consiste cada uno de estos ciberataques y cómo podemos defendernos de ellos, ya que es realmente lo que importa: CONCIENCIAR a cuantas más personas mejor para que aprendan a protegerse de este tipo de delitos sin caer en el alarmismo.

Ataque número 1: SIM Swapping.

Este es un tipo de ciberataque viejo, pero que por desgracia hoy en día sigue funcionando, no tanto como años atrás, ya que muchas de las entidades bancarias ya no verifican las operaciones de transferencia mediante un SMS, aunque si lo siguen haciendo los operadores de tarjetas bancarias para confirmar ciertos cargos o pagos online.

El ataqué en sí es muy sencillo, en una primera parte, a través de por ejemplo un phishing consiguen obtener: el usuario, la contraseña y el número de teléfono de cada una de sus víctimas. Con estos datos solamente podrían consultar el saldo bancario de las cuentas, ya que para ordenar una transferencia necesitan un 2FA, o lo que es lo mismo, un segundo factor de autenticación además del de la contraseña, este puede ser: una tarjeta de coordenadas, otra contraseña distinta, un token en el móvil o un SMS con un PIN único para verificar la transferencia. Aquí es donde entra en juego el SIM Swapping, el PIN vía SMS es el eslabón más débil de todos los posibles 2FA.

Fig. Ejemplo SMS verificación PayPal

Los cibercriminales solamente tienen que conseguir un duplicado de la tarjeta SIM de la víctima. Una vez tenga en su poder el duplicado de la SIM, la SIM legitima, es decir, la que tiene la victima introducida en su teléfono queda inoperativa y por lo tanto su teléfono queda sin cobertura. En ese momento introducen la SIM duplicada en un teléfono suyo (de los malos) y solamente tienen que esperar a que les llegue el SMS con el PIN que autoriza la transferencia fraudulenta.

Fig. A la izquierda, teléfonos para ejecutar un SIM Swapping

Si estas pensando que esto a ti te da igual ya que solo tienes 8€ en la cuenta, a los cibercriminales sí que les da igual, ya que últimamente no les llega con desvalijarte la cuenta bancaria, sino que además, solicitan créditos rápidos en tú nombre a través de la propia página web de la entidad bancaria e inmediatamente vuelven a retirar esos fondos.

¿Cómo evitarlo?. No es fácil evitar ser víctima de este tipo de ciberataque, el primer consejo sería que tuvieras precaución a la hora de introducir tus contraseñas bancarias en un sitio falso, ya sea a través de un phishing o un pharming. Pero la realidad, es que los cibercriminales no descansan y cada día piensan en nuevos métodos para robarte las contraseñas. En el caso de la operación policial que os contaba anteriormente, en la que se detuvieron a 19 personas, la contraseñas bancarias las obtuvieron a través de un taller de reparación de teléfonos móviles con el que estaban en connivencia, así cuando alguien llevaba a reparar su teléfono roto no solo le limpiaban la pantalla sino que también le limpiaban la cuenta bancaria.

Una forma de darte cuenta que te están haciendo un SIM Swapping, es si ves que tu móvil se queda sin cobertura en una zona en la que siempre la tenías y otras personas de tu entorno de la misma compañía si tienen cobertura, además en este caso si intentas llamar por teléfono no tendrás línea pero si alguien te llama a ti se escuchará el tono sin que tú teléfono suene, este será un indicador de que alguien ha duplicado tu tarjeta SIM. Deberás ponerte en contacto rápidamente con tu compañía telefónica para confirmarlo e inmediatamente hablar con tu banco para que bloqueen las transferencias y la apertura de líneas de crédito en tú nombre a través de la banca online.

Fig. Smartphone sin cobertura

Cuando solicitamos de forma legítima un duplicado de la SIM, ya sea debido a que la nuestra está dañada o la necesitamos de otro tamaño, la tarjeta SIM vieja se cancela para que pueda funcionar la nueva, por ese motivo, cuando alguien hace un duplicado de tú SIM de forma fraudulenta tú te quedarás automáticamente sin cobertura, debido a que tu línea de teléfono estará asociada a la nueva SIM vieja. Si llamas pos teléfono a tu número y sale apagado significará que todavía no han intentado hacer ninguna transferencia o ya la han hecho, si por el contra da tono, significará que están en proceso de vaciarte la cuenta, habla rápidamente con tu entidad bancaria. Existe otra posibilidad que se llama “MultiSIM”, esto es poder disponer de dos tarjetas SIM físicas asociadas al mismo número, es decir, tener el mismo número de teléfono en dos dispositivos distintos, los cuales pueden recibir llamadas y realizar llamadas de forma indistinta, aunque también se podría utilizar esta tecnología para ejecutar ataques tipo SIM Swapping, el hecho de realizar la contratación de este servicio o la gestión de los códigos PIN no les resulta tan sencillo a los cibercriminales, por lo que normalmente se decantan por el primer método.

Ataque número 2: Secuestro de Whatsapp.

Otro ataque completamente distinto al anterior y que también ya es muy viejo, es el secuestro de una cuenta de Whatsapp. Hace años que ya os hablaba de esto en mi cuenta de Twitter.

Fig. Tuit del 2018

El procedimiento también es muy simple, quizás demasiado. Como sabréis Whatsapp por defecto no tiene contraseña. – ¿Entonces como sabe la aplicación de quien es cada cuenta?. – Muy fácil, realiza un inicio de sesión semitransparente para el usuario a través de su número de teléfono. Las cuentas de Whatsapp siempre están vinculadas a un número de teléfono, y para verificar que la persona que intenta iniciar sesión es el legitimo usuario de ese teléfono, la aplicación envía un SMS con un PIN (de nuevo, el mismo planteamiento que antes: SMS + PIN), en principio solamente el usuario del teléfono tiene acceso a ese PIN que le llega por SMS y puede iniciar sesión en Whatsapp. Puede que me digas que tú tienes Whatsapp y nunca has recibido ese SMS, en realidad si lo has recibido, pero no lo has visto. Si le has dado permisos a Whatsapp para que pueda leer tus SMS (Si, es uno de los permisos que te pide, ¿lo sabías?) será capaz de leerlo automáticamente e iniciar sesión sin que tú tengas que hacer nada.

El problema surge, cuando alguien utilizando cualquier tipo de estratagema te pide que le digas o envíes el número PIN que te llegó por SMS, por ejemplo, que te envío por error ese número y que era para él. Si tú le das ese número PIN, la otra persona podrá iniciar sesión en Whatsapp haciéndose pasar por ti, y lo que es peor, a ti se te cerrará la cuenta ya que Whatsapp solamente permite un inicio de sesión al mismo tiempo. Una ventaja del sistema de cifrado de Whatsapp, es que aunque te roben la cuenta de este modo, la persona que te la robó no podrá leer tus mensajes anteriores.

Fig. Engaño mediante Whatsapp

¿Qué hacer si te pasa esto?. Me vais a permitir ahorrarme un poco de tiempo escribiéndolo, ya que te lo voy a contar a través de los tuits que escribí hace años y que todavía son totalmente válidos. ¡Eso es previsión! 😉

Lo primero es: CONCIENCIACIÓN; CONCIENCIACIÓN; CONCIENCIACIÓN; CONCIENCIACIÓN; CONCIENCIACIÓN; CONCIENCIACIÓN; CONCIENCIACIÓN, ¡ah!, se me olvidaba: CONCIENCIACIÓN y CONCIENCIACIÓN.

– Pero… ¿y si ya me ha pasado?.
– Si has logrado darte de cuenta al momento, ¡corre!, abre tu Whatsapp y verifica de nuevo tu número de teléfono, recuperarás tu cuenta. (posiblemente te llegue luego otro segundo SMS, ni caso, será el ladrón tratando de volvértela a robar)

Fig. Primer intento de recuperación de cuenta

Si no has llegado a tiempo y ya no te deja verificarla, significará que el ladrón ha activado la verificación en dos pasos 2FA de tu Whatsapp. Es decir, ¡¡¡le puso una contraseña a tu cuenta!!!

¡Tranquilo todo el mundo!, no está todo perdido. Por seguridad (para evitar estas cosas), Whatsapp te permitirá en 7 días (al octavo día), volver a verificar tu cuenta sin 2FA. Tendrás que poner una alarma en el móvil, y esperar. Al 8º día, verifica tu cuenta. En esta situación la sesión de Whatsapp de la persona que te ha robado la cuenta también se le cerrará.

Fig. Segundo intento de recuperación de cuenta a los 30 días

Normalmente esto funciona, pero si no, puedes esperar 30 días para realizar un segundo intento de verificación. Otra opción es enviarle un email a la gente de Whatsapp: [email protected] y contarles lo que te ha pasado, igual te ayudan si les adjuntas la siguiente imagen.

Fig. Gato de Sherk

Originally tweeted by π∆nu [G] (@CiberPoliES) on 23 September, 2019.

¿Y si todavía no te ha pasado el que te hayan intentado robar la cuenta de Whatsapp?, pues antes de cantar victoria, te dejo un #CiberConsejo para que modifiques la configuración de seguridad de tu cuenta de Whatsapp añadiéndole una contraseña, así para poder iniciar sesión en tu cuenta no será suficiente con acceso a la SIM, también deberán conocer la contraseña, lo que dificulta mucho que alguien te pueda robar la cuenta. Si no sabes como añadir una contraseña a tú cuenta de Whatsapp te explico como hacerlo:

Primera deberás acceder al menú cuenta de Whatsapp desde: Menú -> Ajustes ->Cuenta. Luego te pedirá el PIN cada ciertos días para que no lo olvides, es un poco engorroso pero necesario.

Fig. 2FA en Whatsapp

Y como bonus, si vas a dar de baja tu número de teléfono, antes de hacerlo recuerda eliminar tu cuenta de Whatsapp. Si no lo haces, al próximo usuario que asignen tu número de teléfono podrá ver tus grupos de Whatsapp.

Fig. Eliminar cuenta de Whatsapp

Quizás a estas alturas te estarás preguntando para que hacen todo esto los cibercriminales, con lo del SIM Swapping estaba claro que la finalidad era realizar transferencias bancarias fraudulentas, aunque también lo pueden utilizar para acceder sin autorización a cuentas en redes sociales o correos electrónicos, pero…. ¿Y el secuestro de Whatsapp?¿Qué ganan robando una cuenta de Whatsapp a una persona cualquiera?. Aunque no lo creas, tu información privada como por ejemplo tus chats vale dinero, pero normalmente este ataque suele llevarse a cabo con dos finalidades principales. La primera para “fastidiar” a alguien, robándole la cuenta y dedicándose a enviar mensajes inadecuados a sus contactos, habitualmente llevado a cabo por jóvenes contra conocidos suyos. Aunque pueda parecer que se trata de una broma, se podría tratar de un delito de descubrimiento y revelación de secretos.

Fig. Detenido

El segundo, para obtener dinero. ¿Cómo?, te estarás preguntando, de la forma más sencilla que te puedas imaginar: Se dedican a enviarle mensajes a todos tus contactos, haciéndose pasar por ti y diciéndoles que no digan nada, pero que tienes un grave problema económico, de salud o cualquier otro y que necesitas dinero de forma urgente, que por favor manden un poco de dinero a través del método que hubieran dispuesto. Un cierto número de tus contactos pensado que realmente te pasa algo, ya que creerán que están hablando contigo, realizarán el pago creyendo que te están ayudando.

Aún me acuerdo, hará cosa de ocho o nueve años, una profesora de infantil a la que robaron su cuenta de email y se dedicaron a enviar emails a todos sus contactos con la misma excusa que os conté antes, que tenía un grave problema económico y que necesitaba una pequeña ayuda. Con lo que no contaban los cibercriminales es que esa profesora solamente hablaba por email con los padres de sus alumnos, al día siguiente todos los niños aparecieron en clase con un sobre de dinero que les habían dado sus padres para ayudar a su profe.

En resumen, a través de un ataque tipo SIM Swapping, los cibercriminales solamente podrán acceder a tus cuentas en redes sociales o ordenar transferencias fraudulentas, pero siempre habiendo obtenido previamente las contraseñas de acceso, ya sea a través de un phishing u otro método. En el caso de redes sociales, es posible que utilicen la opción de recuperar contraseña de tu email, para robarte directamente la cuenta a través del código que te llega por SMS, en ese caso no necesitarán haber obtenido previamente ninguna contraseña.

Por el contrario, a través de un secuestro de Whatsapp, un cibercriminal solamente podrá hacerse pasar por ti hablando con tus contactos en Whatsapp, posiblemente para ejecutar técnicas de ingeniería social y obtener su propósito.

Fig. Tabla comparativa Secuestro Whatsapp y SIM Swapping

Lo que no es posible, o al menos no tiene relación técnica entre sí, es el secuestro de Whatsapp o un SIM Swapping, con la instalación de un malware en el teléfono móvil. Es decir, una consecuencia directa de un secuestro de Whatsapp o un SIM Swapping, nunca será la instalación de un malware o programa espía en tú móvil, cosa distinta es que aprovechando que se hacen pasar por ti, le envíen un programa malicioso a un contacto tuyo.

Así que ya sabes, trata de no utilizar segundos factores de autenticación que utilicen tecnología SMS y ponle contraseña a tu Whatsapp.

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.

Manuel Guerra

Manuel Guerra

Mi nombre es Manuel Guerra. Investigador especializado en: [eCrime] | [Forensic] && [Hacking]. Editor de GLIDER.es

Navegación de la entrada


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>