La aplicación de mensajería más popular en el mundo ha tenido un comienzo de año muy difícil. No solo ha tenido que enfrentar una masiva deserción como producto del cambio en sus políticas de privacidad de información, sino que también ha sido víctima de una oleada de ciberataques por parte de delincuentes informáticos que hacen uso de su plataforma para aprovecharse de los incautos.

En la tercera semana de enero se reportó un caso viral de estafas para apoderarse de datos de usuarios de WhatsApp. Se trata de un mensaje o notificación, a modo de spam, que parece proceder de los administradores de la aplicación, cuando WhatsApp nunca envía mensajes de texto.

Este engaño se hace a través de un mensaje de texto, en donde se agrega el código de 6 dígitos con el que el usuario inicia WhatsApp, el ciberdelincuente escribe por la app de mensajería para solicitar ese código y, una vez que se entrega, este obtiene acceso a todos los datos del incauto usuario de manera instantánea. La forma de evitar esta estafa es nunca mandar el mensaje que ha llegado al dispositivo móvil y, simplemente, borrar el texto.

También se ha hecho común otro mensaje que difunde un virus dentro de las conversaciones y el cual contiene un enlace que redirige a una web clonada que se parece a Google Play. Entrar a esta página falsa puede significar ponerse bajo el control de un hacker o exponerse a un malware.

Otro engaño mediante WhatsApp ha sido reportado en estos días por el laboratorio de ESET Latinoamérica. En este se suplanta la identidad de la marca deportiva Adidas. Los ciberdelincuentes responsables de esta reciente modalidad se valen de una supuesta campaña que estaría haciendo la reconocida firma para regalar tapabocas, pero en verdad lo que persiguen es hacer que las víctimas se suscribas a servicios de SMS pagos.

Aquellos que caen en la estratagema y hacen clic en el enlace son redirigidos a otro sitio que no tiene que ver con el sitio auténtico de Adidas. En ese sitio se ve como que la cantidad de tapabocas disminuye desde que se ingresa, pero se trata de una animación con el propósito de impedir que la víctima tenga tiempo de reaccionar y haga clic rápido para conseguir uno de los premios.

De igual manera, pero específicamente en Colombia, se está usando WhatsApp para estafar a usuarios de la aplicación con una supuesta campaña de ayuda económica del Gobierno. La campaña promete recursos para auxiliar a los afectados por la pandemia y se vale de un programa real llamado “Ingreso Solidario” y se redirige a los incautos a una página falsa. En este sitio clonado se solicitan datos del usuario y se pide que se llene un cuestionario, entre los que se incluye el número telefónico y datos personales.

Pero como si esto no fuera suficiente, el Instituto Nacional de Ciberseguridad de España advirtió sobre una ola de robos de cuentas de WhatsApp hace poco. Según el instituto, esta modalidad emplea el método phishing y suplantan una identidad para que los usuarios entreguen los datos de su cuenta.

El modus operandi

Las víctimas reciben un mensaje de un conocido que dice que por error le llegará por SMS su código de verificación de WhatsApp. En este caso, el hacker espera que, confiada, la víctima retorne el número de código y se ponga en sus manos.

En realidad, esta trampa es parecida al esquema que expusimos en las primeras líneas de este artículo, con la diferencia de que se apela a una persona conocida o familiar y no a la propia plataforma de WhatsApp como autora del mensaje.

Como siempre, la recomendación para evitar caer en este tipo de engaños es leer con cuidado los mensajes que se reciben y pensarlo mucho antes de revelar datos personales.