Formas de robar una cuenta de WhatsApp: el buz��n de voz

De hasta tres maneras distintas se pueden hackear las cuentas de la popular app de mensajer��a instant��nea.

Actualizado a 4 de junio de 2020 00:20 CEST

Hoy d��a es imposible imaginar el mundo sin WhatsApp, y por extensi��n sin aplicaciones de mensajer��a instant��nea. Ser��a imposible volver a la era pre-smartphone, donde se conversaba por mensajes SMS. WhatsApp es una aplicaci��n usada por m��s de 2.000 millones de personas al mes, lo que significa que un 1/3 de toda la poblaci��n mundial conversa a trav��s de ella. Por esto mismo, la idea de perder tu cuenta resulta aterradora. Pero es que resulta que robarte la cuenta de WhatsApp es posible.

C��mo hackear una cuenta de WhatsApp

En la ��ltima entrada del blog personal de Chema Alonso, el conocido hacker y experto en ciberseguridad espa?ol, se especifican estos tres m��todos. Una entrada escrita por cierto por Yaiza Rubio, otra experta en seguridad, cooperante del INCIBE (Instituto Nacional de Ciberseguridad de Espa?a) y la primera hacker espa?ola en dar ponencias en eventos como DEF CON o Black Hat Briefings.

El problema de WhatsApp parte de usar un n��mero de tel��fono como m��todo de registro de cuenta en apariencia m��s seguro que el usual, el de email y contrase?a, algo que hace WhatsApp.

Por mensaje SMS

Cuando instalas WhatApp en un m��vil, a la hora de crear la cuenta se te pide un n��mero de tel��fono para asociarla a esta. As��, de alguna vez quieres reinstalar la app en otro dispositivo o simplemente no te acuerdas del login o contrase?a, WhatsApp te ofrece 2 m��todos para hacerte llegar el c��digo de verificaci��n que necesitas. Ahora imagina que de repente te llega un mensaje SMS con dicho c��digo que no has solicitado.

Dado que es tu n��mero, solo tu puedes ver los mensajes SMS enviados a tu n��mero de tel��fono. Pero el problema es que si no borras ese SMS, se queda en la carpeta, y alguien que tome el control de tu m��vil a distancia podr��a leerlo, lo cual es posible:

- Si has sido v��ctima de un timo por Phishing, enlace, web maliciosa, etc que te ha instalado un malware que le permite a un hacker ver cualquier elemento del m��vil

- Si has descargado una aplicaci��n maliciosa o vulnerable y le has dado permisos para acceder a los SMS del terminal

- Por medio de la estafa SIM Swapping, un m��todo en varias fases que consiste en clonar tarjetas SIM

- Por un Contacto de WhatsApp, el mismo hacker puede enga?arte haci��ndose pasar por un contacto tuyo, como la estafa que la Polic��a Foral de Navarra denunci�� en 2018

Por llamada telef��nica

Cuando se env��a el c��digo de verificaci��n por SMS, si se tarda m��s de un minuto en introducirlo, WhatsApp llama al n��mero de tel��fono que tiene registrado para indicar por voz el c��digo de verificaci��n. En caso de que el cibercriminal tuviese f��sicamente el m��vil en sus manos, podr��a coger la llamada y saber el c��digo. De hecho da igual que el terminal est�� bloqueado, porque no hace falta desbloquearlo para contestar una llamada.

Otra variante ser��a que el hacker no tiene el m��vil f��sicamente en sus manos, pero s�� que lo ha pirateado a distancia. Existen virus troyanos como Android.Bankosy, un viejo conocido de la escena bancaria que puede derivar temporalmente las llamadas de un m��vil y adem��s recoger datos importantes de esas llamadas, como contrase?as.

Por el buz��n de voz

Si no se mete el c��digo de verificaci��n enviado por SMS en 1 minuto, entonces WhatsApp te llama. Si no descuelgas la llamada, el servicio de la app te deja un mensaje en el buz��n de voz, que se convierte as�� en otra fuente de datos para el hacker. De nuevo, si el cibercriminal tiene el m��vil de la v��ctima en la mano, s��lo tiene que llamar al buz��n de voz de ese n��mero de tel��fono.

Pero si no lo tiene, entonces puede llamar al buz��n de voz de ese n��mero de tel��fono desde otro m��vil, lo que implica que el buz��n de voz le pedir�� el c��digo PIN de seguridad para dejarle escuchar sus mensajes. Si el hacker no lo tiene, puede ��recurrir a estad��sticas sobre la frecuencia de uso de los n��mero PIN, en donde el 1234 es el m��s frecuente, seguido del 1111 y del 0000��. Aunque si mete tres veces mal el c��digo PIN, la llamada se cuelga autom��ticamente.

En Telegram no es posible

Telegram, la segunda tras WhatsApp en apps de mensajer��a, tambi��n permite enviar un c��digo de verificaci��n de una cuenta Telegram a trav��s de SMS. Y si en 2 minutos no se ha introducido, tambi��n hace una llamada, con la salvedad de que Telegram no deja mensajes en el buz��n de voz. Adem��s las llamadas s��lo son realizadas si la cuenta tiene configurada una contrase?a adicional.

Esta contrase?a adicional ser�� requerida siempre que quieras iniciar sesi��n, adem��s del c��digo de inicio de sesi��n que es enviado v��a SMS o llamada. Por lo tanto, y seg��n nos cuentan desde la propia Telegram, "ninguno de los escenarios mencionados en el art��culo relacionados con las llamadas de WhatsApp podr��an tener ��xito en el caso de Telegram", porque simplemente no se realizan llamadas si esta contrase?a adicional creada por el usuario no est�� configurada.