Las trampas ocultas en la aplicación que ha enamorado al mundo
No hace tantos años que el correo electrónico nos parecía una herramienta de ciencia ficción. Para aquellos que crecieron en la era del fax y los sobres con sellos, la llegada del correo electrónico, que permite comunicarse con personas lejanas y enviar documentos de todo tipo en tiempo real, fue una transformación revolucionaria.
Hoy en día, no solo parece absolutamente normal, sino que es difícil imaginar una forma de vivir y trabajar sin correo electrónico. Sin embargo, la tecnología avanza rápido y siempre vamos por detrás, en una aceleración continua, especialmente de nuestros modos de comunicación. Tanto es así que el correo electrónico, como herramienta, ya nos parece superado.
En cuanto al mundo laboral, con la expansión sin retorno del teletrabajo, las comunicaciones entre empleados o entre empresas y empleados se han trasladado cada vez más del correo electrónico a otras herramientas, como las diversas plataformas de videollamada o los programas de mensajería, en particular WhatsApp.
Entre quienes trabajan todo el día frente al ordenador, nadie escapa a la atracción que ejerce una comunicación mucho más inmediata y ágil, que ha cambiado también nuestro lenguaje y la elección de las palabras: todo es mucho más directo y esquemático, con pocos adornos y formalidades.
El protagonista indiscutible de esta transformación es WhatsApp, la aplicación utilizada hoy por más de dos mil millones de personas, en 180 países del mundo, y que por ahora parece no tener rival en los intercambios entre particulares, pero que también está ganando terreno en el ámbito de las comunicaciones laborales.
WhatsApp como herramienta de trabajo
Según una investigación de Veritas Technologies, titulada «Hidden Threat of Business Collaboration Report»”, el 75 % de los 12 500 empleados de empresas u organizaciones encuestados utilizan frecuentemente WhatsApp para sus comunicaciones de trabajo, con un 71 % que admite usarlo para enviar información sensible relacionada con la empresa para la que trabaja.
También Federprivacy ha capturado una imagen similar del mundo del trabajo, con un un 52 % de encuestados que confesaron usar WhatsApp para enviar documentos, escaneos y archivos compartidos de forma rápida y sencilla.
Un cambio de hábitos que despierta mucho entusiasmo pero que tiene su lado oscuro.
En primer lugar, por cuestiones de seguridad y privacidad. Solo hay que pensar que, siempre de acuerdo con el sondeo de Federprivacy, una cuarta parte de los encuestados confesó que se había equivocado de destinatario al enviar datos sensibles, como contraseñas de empresa, datos confidenciales de clientes, información sobre los salarios de los empleados y a veces incluso datos sanitarios.
Errores y riesgos que, sin embargo, no parecen disuadir a los usuarios, ya que el 79 % de los encuestados indicaron que en el futuro estarían dispuestos a usar WhatsApp nuevamente para compartir datos corporativos.
Los riesgos de WhatsApp
A todo esto se suma el riesgo de estafas reales difundidas a través de la famosa aplicación de mensajería. Hay varios tipos, desde enlaces maliciosos que imitan mensajes procedentes de famosas marcas comerciales, a laaplicación clon para invitar a los usuarios a instalar WhatsApp fuera de la App Store; pasando por el esquema clásico de «phishing». Este funciona más o menos así: la víctima recibe un mensaje de correo electrónico sobre la posible expiración de su cuenta de WhatsApp y se le pide que renueve el registro, pagando con tarjeta de crédito en un plazo de 24 horas para evitar perder el historial de mensajes y diversos contenidos. Obviamente, para continuar, el usuario debe introducir los datos de la tarjeta, que terminarán directamente en las manos de los delincuentes.
Hackeo social
A ello se añade el hackeo social, es decir, las intrusiones de los hackers en las cuentas con el objetivo de obligar a la víctima a pagar un rescate.
Uno de los métodos más utilizados por los piratas informáticos consiste en compartir PIN o números de seguridad recibidos a través de SMS.
Funciona así: una persona en la que confiamos nos escribe por WhatsApp diciéndonos que debe suscribirse a un determinado servicio pero se ha equivocado en el proceso y necesita que le enviemos el código que en ese mismo momento nos ha llegado por SMS.
En general, el desafortunado destinatario realiza la operación sin hacerse demasiadas preguntas porque confía en quien le escribe el mensaje. Y tal vez tiene prisa o está distraído. A partir de ese momento, sin embargo, comenzarán los problemas: después de unos segundos, el usuario se verá expulsado de su cuenta de WhatsApp sin tener ya acceso a chats y contactos. En realidad, esos seis números eran el código de seguridad que el hacker necesitaba para asociar el número de teléfono de la víctima a otro teléfono y empezar de nuevo el spam con nuestros contactos.
La trampa es esta: primero el ciberdelincuente ataca a un amigo o familiar y luego intenta repetir la misma estafa con todos los contactos que puede encontrar.
La nueva estafa de WhatsApp
Desde hace algunos meses los estafadores están dejando un poco de lado este método para pasar a uno nuevo que se vale de métodos menos técnicos y más «comunicativos».
Según las declaraciones de Rahul Sasi, fundador y director general de CloudSEk, una empresa de ciberseguridad, los delincuentes utilizan códigos comunes que cualquiera puede habilitar en su teléfono para desviar llamadas y SMS en caso de que la línea esté ocupada, con el objetivo de que las víctimas les pasen el control del perfil de la aplicación, sin darse cuenta de ello. Un hacker o un cómplice llama a la víctima ocupando de este modo la línea e invitando al interlocutor a escribir la secuencia **67* y *405* seguida de un número de 10 cifras. Una estratagema válida solo cuando el número principal, con el que se está registrado en WhatsApp, está ocupado en una llamada telefónica, como la que está en curso con el autor del fraude.
En ese momento, el hacker realiza un nuevo proceso de registro de la cuenta de WhatsApp con el número de la víctima. El código de confirmación llegará a la SIM insertada después de los códigos, para finalizar la operación de robo del perfil. El hacker puede completar el procedimiento, desconectar la cuenta de la víctima y comenzar a usarla por su cuenta. Según el investigador, el objetivo de los delincuentes es pedir dinero a los contactos de la víctima, haciéndose pasar por un amigo o pariente real.
Formas de protegerse
Según los expertos, la mejor protección para este tipo de estafa es habilitar la verificación en dos pasos. Basta con entrar en la aplicación, pulsar el botón situado en la parte superior derecha con los tres puntos y abrir Ajustes, luego Cuenta y Verificación en dos pasos. En este punto, hay que elegir un PIN de 6 cifras, registrar un correo electrónico válido y luego Activar. Esta es sin duda una forma de tener siempre un salvavidas.
Pero, sobre todo, es importante estar prevenidos en todo momento.
Como en todas las estafas informáticas, lo que está en el punto de mira es el comportamiento humano, porque siempre es el eslabón más débil, la grieta a través de la cual se cuelan los delincuentes. Es en este aspecto donde hay que reforzar las defensas.
Desarrollar, en resumen, un sistema inmunológico que nos ofrezca una protección completa contra las numerosas amenazas de la tecnología. Especialmente cuando se trata de datos sensibles e información de la empresa.
Esto requiere una formación continua y actualizada que nos capacite para hacer frente a los peligros que se esconden detrás de las herramientas que usamos diariamente y que nos transforme en verdaderos sabuesos de las estafas cibernéticas.
