El secuestro silencioso de Whatsapp

Por Yeferson Chassaigne Daza*

Se ha identificado una nueva estafa en la que los ciberdelincuentes buscan engañar a los usuarios de la aplicación de mensajería WhatsApp, lo que representa una preocupación creciente para millones de usuarios de esta aplicación de mensajería.

En la gigante de la internet está circulando nuevas amenazas que no siguen las reglas habituales: no necesitan robar contraseñas, ni duplicar tu tarjeta SIM (SIM swapping), sino que utilizan una función oficial de la aplicación en tu contra.

La trampa está en una función que usas todos los días: la técnica utilizada por los ciberdelincuentes no es explotar una vulnerabilidad conocida o un error en el código de la aplicación WhatsApp. En su lugar, abusa de la función legítima de "dispositivos vinculados", diseñada para usar tu cuenta en una computadora o tablet. Los ciberdelincuentes engañan al usuario para que, sin saberlo, autorice la vinculación de su cuenta a un navegador web controlado por el ciberdelincuente. Para los sistemas de WhatsApp, esta acción parece completamente válida, ya que interpreta que el propietario de la cuenta ha añadido un nuevo dispositivo de forma consciente.

Olvídense de contraseñas robadas o SIM clonadas para acceder.

Este método es particularmente peligroso porque anula las defensas tradicionales en las que solemos depositar la confianza. El éxito del ataque utilizado no depende de robar tus credenciales, interceptar los códigos de verificación que llegan por SMS, o de la compleja clonación de tu tarjeta SIM. Su efectividad se basa únicamente en la ingeniería social (engaño): la habilidad del ciberdelincuente para manipularte y hacer que realices una acción que parece inofensiva.

Somos quienes le damos las llaves de acceso al ciberdelincuente

El ataque lo desarrollan a través de un cuidadoso proceso de engaño:

Todo comienza con un mensaje que parece provenir de un contacto conocido, el cual contiene un enlace fraudulento con un pretexto atractivo, como "mira esta foto" o "¿eres tú en este vídeo?". Cómo podrás ver en la imagen, la forma de engaños:

Ese enlace te dirige a una página fraudulenta que simula ser un servicio de Meta o un visor de contenidos, a menudo imitando la apariencia de una pantalla de inicio de sesión de Facebook o de Instagram, donde te solicitan tu número de teléfono.

Finalmente, se te pide que escanees un código QR o, que ingreses un código numérico. Los ciberdelincuentes prefieren este último método, ya que solicitar un código puede parecer menos sospechoso que pedir escanear un QR, una acción más asociada a la vinculación de dispositivos. Al hacerlo, sin darte cuenta, completas el proceso y le das al atacante acceso total a tu cuenta.

Este tipo de ataques pone de relieve los riesgos derivados del abuso de funcionalidades legítimas y la dificultad de mitigarlos únicamente con controles técnicos. La principal defensa sigue siendo la concientización del usuario.

¿Qué puede hacer el ciberdelincuente con tu cuenta?

Una vez que el ciberdelincuente ha vinculado tu cuenta a su dispositivo, puede:

• Leer todas tus conversaciones y acceder a los archivos que has compartido.
• Enviar mensajes en tu nombre, lo que le permite propagar el fraude a tus contactos.
• Mantener el acceso a tu cuenta de forma persistente, siempre que el dispositivo malicioso permanezca vinculado. Cómo la pueden ver en la imagen:

Recomendaciones para protegerte:

La prevención es la mejor defensa. Sigue estas recomendaciones claras para mantener tu cuenta segura:

1. Revisa periódicamente la sección "Dispositivos vinculados" en los ajustes de WhatsApp. Si ves algún acceso que no reconoces, elimínalo de inmediato.

2. Desconfía de enlaces inesperados, incluso si parecen venir de contactos conocidos. Sus cuentas podrían haber sido comprometidas previamente.

3. Activa la verificación en dos pasos. Esto añade una capa extra de seguridad a tu cuenta.

4. Cierra todas las sesiones vinculadas desde los ajustes si tienes la más mínima sospecha de que tu cuenta ha sido comprometida.

Las amenazas digitales evolucionan constantemente, y las estafas demuestran que ahora pueden usar las propias funciones legítimas de las aplicaciones para atacarnos. Si bien WhatsApp implementa medidas de seguridad, este método demuestra que el eslabón más vulnerable no es la tecnología, sino la psicología aplicada con engaños para terminar manipulando a los usuarios.

La vigilancia activa no es una opción, es la única defensa eficaz, la Ciberseguridad es compromiso de todos.

*Experto en Ciberseguridad.