Una ola de informes sobre las cuentas de WhatsApp «hackeadas» en Israel obligó a la Agencia de seguridad cibernética del país a enviar una alerta de seguridad a nivel nacional, según reseña el portal ZDNet.
La alerta advierte sobre un método relativamente nuevo de piratear cuentas de WhatsApp utilizando los sistemas de correo de voz de los proveedores móviles.
La idea general del método de piratería es que los usuarios, que tienen cuentas de buzón de voz para sus números de teléfono, están en riesgo si no cambian la contraseña predeterminada que en la mayoría de los casos suele ser demasiado simple: 0000 o 1234.
¿Cómo ocurre el ataque?
Primero, el atacante intenta agregar el número de teléfono de un usuario legítimo al instalar WhatsApp en su propio dispositivo.
El procedimiento de seguridad de la aplicación enviará un código de seguridad de una sola vez a través de SMS al teléfono de la víctima. Normalmente, esto debería alertar al legítimo usuario, pero si sucede cuando (por ejemplo) están dormidos, no lo sabrán.
Varios intentos fallidos de validación de SMS hacen que WhatsApp solicite al usuario que realice una «verificación de voz». WhatsApp llamará al teléfono de la víctima para decirle el código de verificación.
Este código, que fue enviado por WhatsApp al teléfono de la víctima, aparecerá en el correo de voz si la víctima no responde. El atacante luego accede al buzón de voz (si esta tienen una de las contraseñas mencionadas) de la víctima y obtiene acceso al código para ‘hackear’ su cuenta de WhatsApp.
«Una vez que el ‘hacker’ ha obtenido acceso a la cuenta de WhatsApp, puede habilitar la verificación en dos pasos, lo que evitaría que el propietario legítimo retome el control de su cuenta de WhatsApp sin un número de seis dígitos que solo el atacante conoce», explica ZDNet.
Para evitar ser víctimas de este método, se les recomienda a los usuarios que cambien sus contraseñas de correo de voz y habiliten la verificación en dos pasos de WhatsApp.