Han "hackeado" la cuenta de WhatsApp del líder de Ciudadanos, uno de los partidos políticos emergentes en los últimos años en España. Aunque lo que ha ocurrido no ha sido exactamente un hackeo, de ahí que hayamos entrecomillado el término al principio. Se ha debido a un caso de suplantación de identidad en el que ha hecho falta la colaboración del propio Rivera, aunque eso no reduce el impacto mediático del asunto.
Del mismo modo en que se produjeron los "hackeos" de iCloud de famosas cuando el conocido Celebgate del pasado 2014, en el caso del WhatsApp de Albert Rivera ha hecho falta la complicidad del propio "hackeado". Sin embargo, el caso está ahora mismo sobre la mesa de muchos expertos en seguridad dado que los "hackers" han podido demostrar que son los auténticos propietarios de la cuenta y no Albert Rivera. Vamos a explicarlo con más calma.
Así se ha producido el "hackeo"
Albert Rivera denunció el caso ante la Guardia Civil española el pasado viernes, y la Unidad de Delitos Telemáticos de la UCO se ha hecho cargo automáticamente del caso al tratarse de un servicio para teléfonos móviles. La cuestión aquí es que no ha habido "hackeo" como tal sino un ingenioso procedimiento por el que se han hecho pasar al mismo tiempo por los dueños de la cuenta y por WhatsApp, y el líder de Ciudadanos ha caído en la trampa.
El procedimiento en cuestión ha consistido en lo siguiente. Conociendo el número de teléfono de Albert Rivera, el asociado a su cuenta de WhatsApp (requisito indispensable para este tipo de engaño), los supuestos "hackers" han denunciado al propio Albert ante WhatsApp, alegando que son ellos los auténticos dueños de la cuenta y que ha sido Albert el que les ha hackeado. Haciendo esto, se pone en marcha el procedimiento de seguridad de WhatsApp para estos casos que no es otro que enviar un mensaje de texto al número de la cuenta para verificar la identidad.
Denunciar la cuenta, hacerse pasar por WhatsApp e identificarse cuando el sujeto "cae" en la trampa
Con el mensaje, y su código de verificación añadido, ya en el teléfono de Albert Rivera, los "hackers" se hacen pasar por la propia WhatsApp para informar de lo mismo que ellos están haciendo. Se ponen en contacto con él por mensaje para indicarle que su cuenta ha sido robada y que necesitan el código de verificación para comprobar que su identidad es auténtica y que Albert Rivera es, en última instancia, el auténtico dueño de su cuenta de WhatsApp.
Es en este momento en el que se produce el "hackeo", de nuevo entrecomillado, pues es el propio Albert Rivera quien envía este código a los "hackers" a los que cree WhatsApp, con lo que ellos utilizan dicho código para identificarse ante la empresa y reclamar su cuenta para sí. Desde ese momento, la cuenta queda inhabilitada en el teléfono de Rivera y pasa a estar activa en el teléfono empleado por los "hackers", pudiendo acceder al listado de contactos de Albert y también al listado de sus grupos. Recordemos que WhatsApp no almacena los mensajes en el servidor por lo que no es posible rescatar mensajes antiguos y/o información relevante que haya sido intercambiada.
Cómo evitar este tipo de robos de cuenta
Pero el problema es claro. Los contactos de Rivera no saben que se ha producido un cambio de identidad en la cuenta, y podrían charlar con sus contactos haciéndose pasar por él, de ahí la gravedad del asunto que, sin embargo, no es tanto un "hackeo" como una suplantación de identidad y un posterior robo de la cuenta. El sistema no es precisamente muy avanzado pero sí que demuestra que en el procedimiento de verificación sencilla de WhatsApp hay algunos agujeros que son fácilmente aprovechables. Aunque como hemos visto, hace falta la colaboración del individuo "hackeado", que es quien pone en bandeja el robo de su cuenta.
Una vez comentado el procedimiento empleado por los ladrones de identidad para hacerse con la cuenta de WhatsApp de Albert Rivera, no podemos sino recomendar lo obvio en estos casos: no facilitar información sensible de este tipo a usuarios no verificados. Pero dado que parece que la suplantación de WhatsApp fue bastante efectiva, tal vez incluso los que pensamos que no lo haríamos jamás caeríamos en algún que otro caso.
Con la verificación en dos pasos se extrema la seguridad y, más importante, no se llega a añadir el teléfono sin conocer el código
Lo recomendable, dada la situación, es que tengamos activada la verificación en dos pasos de WhatsApp. Un procedimiento automático que nos solicita un código PIN en la aplicación en el momento en que alguien, incluso nosotros, intenta registrar la cuenta en un nuevo teléfono. De haber estado activo este sistema, WhatsApp habría impedido que los hackers añadiesen el número a su teléfono, y se habría evitado el proceso posterior que acabó con el robo de la cuenta.
Pero como hemos dicho antes, lo recomendable es no enviar este código a quien nos lo solicite, y mucho menos a través del teléfono. Sería diferente si hubiese sido la propia app de WhatsApp la que requiriese el código para la verificación, pues en este caso sabríamos que se trata de un procedimiento oficial y rutinario del servicio. Aunque como ya hemos comentado, la suplantación de identidad parece haber sido tan buena que haría dudar a cualquiera. Mucho cuidado.
Ver 2 comentarios