Alerten d'un nou mètode per robar el compte de WhatsApp: amb la bústia de veu i sense cap clic

Alerten d'un nou mètode per robar el compte de WhatsApp sense que l'usuari hagi de fer cap clic ni descarregui cap fitxer. La via que utilitzen els ciberdelinqüents en aquest cas és la bústia de veu, segons ha informat l'Institut Nacional de Ciberseguretat (Incibe).

El mètode es basa en l'enginyeria social per aconseguir el control total del compte i suplantar la víctima. El procediment comença quan els ciberdelinqüents instal·len l'aplicació de WhatsApp en un dispositiu i intenten vincular-hi el número de telèfon d'una víctima.

WhatsApp envia llavors un codi de verificació per SMS o trucada, com a part del procés habitual. Si el missatge no es rep (per exemple, si l'usuari no contesta), l'aplicació pot oferir l'opció d'enviar el codi amb una trucada de veu.

Si la víctima té activa la bústia de veu i no respon a la trucada, el codi s'enregistra automàticament a la bústia. Aprofitant que moltes persones no tenen configurat un PIN segur a la bústia, els estafadors intenten accedir-hi trucant al número de la víctima des d'un altre dispositiu.

Segons l'Incibe, l'accés a la bústia de veu "no és gaire difícil" si no s'està correctament protegit. S'activa per defecte a totes les companyies amb una configuració de seguretat basada en un pin que acostuma a ser 0000 o 1234.

Així doncs, els delinqüents accedeixen de manera remota a la bústia de veu i poden escoltar els missatges, com el que té el codi de verificació per vincular el compte de WhatsApp al dispositiu.

Un cop tenen el control del compte de WhatsApp, què fan?

L'objectiu dels delinqüents és dur a terme noves estafes. En molts casos, sol·liciten diners als contactes o difonen enllaços maliciosos des d'un compte aparentment de confiança.

Des de WhatsApp adverteixen que, una vegada registrat el compte en un altre telèfon, la sessió de la víctima es tanca automàticament. Per això és fonamental actuar ràpid quan es detecta un ús no autoritzat.

Què cal fer si han accedit al nostre compte de WhatsApp?

Si els ciberdelinqüents han aconseguit accedir al compte de WhatsApp, la pàgina de suport de l'aplicació recomana tornar-lo a registrar com més aviat millor amb el número de telèfon.

Es rep un nou codi de sis dígits i, un cop introduït, es tancarà automàticament la sessió al dispositiu on l'intrús hagi iniciat sessió. En alguns casos, si l'estafador ha activat la verificació en dos passos, no es podrà accedir immediatament i caldrà esperar fins a set dies per fer-ho sense el PIN. En aquest temps no es pot recuperar el compte.

Des d'Incibe també recomanen contactar amb l'operadora mòbil per bloquejar la targeta SIM --en cas de pèrdua del mòbil-- i revisar quines sessions estan obertes des de WhatsApp Web o Escriptori per tancar accessos no autoritzats.

Un altre frau comú és l'intent d'enganyar directament la víctima perquè comparteixi el codi de verificació que rep per SMS. Un missatge típic pot ser: "Hola, ho sento. T'he enviat per error un codi de 6 dígits per SMS. M'ho pots passar? És urgent."

Quan la persona ho facilita, perd el control del seu compte. Per això, mai s'ha de compartir el codi de sis dígits rebut per SMS amb ningú, ni tan sols amb amics o familiars, tal com recorda Incibe.

Com podem evitar que la bústia de veu estigui desprotegida?

Per evitar ser víctimes de ciberdelinqüència a través de la bústia de veu hi ha, a priori, dues coses que es poden fer: o bé desactivar la bústia de veu a través de la companyia i no tenir el servei o bé posar un PIN per accedir-hi.

La configuració de la clau la pot fer únicament l'usuari propietari del telèfon, a través de la companyia. D'aquesta manera, es converteix en l'única persona --si és que no ha compartit el PIN amb ningú-- que pot escoltar els missatges que es guardin a la bústia. 

Cada una de les companyies telefòniques permet generar una clau d'accés per a la bústia de veu.

A continuació podeu llegir com fer-ho en algunes de les companyies:

• Telefónica: des del web Mi Movistar o bé des de la bústia de veu trucant a l'123 i seguint les instruccions. Per desactivar-lo cal trucar al 22123.
• Orange: des de Mi Orange o bé marcant el 888 i prement el 3. Per desactivar-lo cal marcar ##002# i prémer a trucar.
• Vodafone: des de Mi Vodafone o bé marcar 22177 i després 9 per personalitzar-lo. Per desactivar-lo cal trucar al #147#.
• Digi: des de Mi Digi o bé trucant al 1200. Per desactivar-lo cal marcar ##002# i prémer trucar.