Introducción
Seguro has escuchado de los «hackeos» de cuentas de WhatsApp: estos son accesos no autorizados que pueden vulnerarte al tomar el control de tu información personal. Para ayudarte a protegerte, creamos esta guía con recomendaciones para mejorar la seguridad digital al utilizar WhatsApp. Explicaremos las posibles amenazas a las que se expone una cuenta de WhatsApp, las recomendaciones preventivas ante estas amenazas, y algunas recomendaciones en caso de que una cuenta haya sido robada o comprometida.
¿Qué datos se vinculan a tu cuenta de WhatsApp?
Para entender las potenciales amenazas, es importante hacernos las siguientes preguntas: ¿qué datos personales le proporcioné a WhatsApp a la hora de crear mi cuenta? ¿Y cuáles son los permisos necesarios para su funcionamiento?
Los datos de usuario en los que nos enfocamos por ahora son:
- Número de teléfono celular
- Nombre o pseudónimo
- Foto de perfil
- Información o descripción (similar a un estado fijo en tu perfil)
- Respaldo de chats (si se encuentra habilitado)
- Estados que publicas para que otros contactos los vean
Y los permisos que solicita la aplicación son:
- Acceso a contactos
- Acceso a micrófono
- Acceso a cámara
- Acceso a Internet
- Acceso a servicios de localización
- Acceso a archivos
- Acceso a SMS (mensajería)
- Acceso a servicios de llamadas
Destacamos estos datos ya que estos son los que pueden llegar a utilizarse en algún ataque o amenaza a una cuenta. (Si quieres conocer la lista completa de datos que WhatsApp recopila de una cuenta, puedes leer su Política de Privacidad.)
¿Cuáles son las amenazas a las que se encuentra expuesta una cuenta de WhatsApp?
Suplantación de identidad
La suplantación de identidad consiste en que alguien se haga pasar por una persona o entidad de manera maliciosa. Esto se puede lograr mediante la creación de perfiles falsos o contenidos en las redes sociales en nombre de alguien más sin necesidad de acceder a cuentas personales u oficiales.
Para el caso de WhatsApp la suplantación de identidad puede suceder cuando una cuenta utiliza el nombre, foto y estado de otra persona, haciéndose pasar por esta.
Una suplantación de identidad no representa un acceso a la cuenta, generalmente se debe a que los datos utilizados estaban configurados para ser visibles a todo público.
Acceso no autorizado
El acceso no autorizado, como su nombre lo indica, representa un acceso a la cuenta que no es legítimo o autorizado por la persona dueña de esta. En el caso de WhatsApp, estas son algunas de las formas más comunes de acceso no autorizado:
Acceso físico al dispositivo
Si el dispositivo y la aplicación no cuentan con un código de bloqueo, es posible que cualquier persona pueda tomar el celular e interactuar con los chats, así como iniciar una nueva sesión de WhatsApp Web en una computadora, u obtener el código de verificación que llega al iniciar sesión en un teléfono celular.
Phishing
El phishing es una técnica que se basa en suplantar o falsificar información para incitar a la persona a realizar una acción, como dar clic a un enlace, compartir contraseñas o abrir un archivo infectado.
En el caso de WhatsApp podemos encontrar distintas formas de presentación del phishing.
- Cuentas que se hacen pasar por el soporte técnico de WhatsApp y solicitan un código enviado por SMS
- Personas “conocidas” que escriben desde otro número telefónico solicitando un código que llega por SMS
- Invitaciones para descargar “respaldos de chats”
Como se puede observar, el principal objetivo es engañar a la persona usuaria para que entregue los códigos que llegan por SMS, o que habilite algún tipo de autorización para acceder a la cuenta.
Robo de línea telefónica
Los robos de línea telefónica buscan adueñarse de un número telefónico, esto puede ser mediante estafas o SIM Swapping, en donde mediante el robo de datos personales, suplantación de identidad, o corrupción por empleados de las operadoras móviles, pueden migrar la línea telefónica a una SIM nueva. Esta SIM se utiliza en un dispositivo distintos, en donde se registra la cuenta de WhatsApp y se recibe el SMS con el código de acceso.
Intervención de dispositivos móviles
Las intervenciones son unos de los ataques más elaborados, ya que requieren un nivel técnico elevado por parte del atacante. Usualmente estas intervenciones van dirigidas a un grupo reducido de personas.
Las intervenciones de dispositivos requieren el uso de algún malware especializado, y estas no vulneran directamente a la aplicación de WhatsApp, sino a todo el dispositivo, por lo que tienen acceso directo a la aplicación. Los malwares más comunes con estas funciones son los spyware y los stalkerware. El software espía más avanzado al día de hoy es Pegasus. Los alcances de estas infecciones o intervenciones dependen de la capacidad del malware y de los permisos que puedan llegar a tener en el dispositivo.
¿Cómo se pueden prevenir estas amenazas?
Estas son algunas recomendaciones de seguridad para proteger una cuenta de WhatsApp, para detalles específicos puedes consultar la ayuda de WhatsApp o escribirnos en @socialtic en redes sociales o a seguridad@socialtic.org.
¡Verificación en dos pasos!
La verificación en dos pasos es una función opcional que añade un nivel extra de seguridad a una cuenta de WhatsApp. Esta consiste en agregar una contraseña o PIN que se debe introducir cuando se registra una cuenta en un dispositivo nuevo. Al habilitar esta medida se tiene la opción de ingresar una dirección de correo electrónico que permite a WhatsApp enviar un enlace para restablecer el PIN por correo electrónico en caso de olvidarlo.
Consulta este artículo del centro de ayuda de WhatsApp para conocer más acerca de la verificación en dos pasos, o revisa este recurso de acá para ver cómo activarla.
Códigos de verificación
Al intentar iniciar sesión en WhatsApp con un número de teléfono se enviará una notificación con un código de verificación mediante un SMS. En caso de recibir un código de estos sin haberlo solicitado, no lo compartas con nadie, pues alguien podría estar intentando acceder a tu cuenta. Consulta más información en este enlace de ayuda de WhatsApp.
Modificar ajustes de privacidad
Te recomendamos configurar tu foto de perfil, nombre, descripción y estados para que sean visibles únicamente por tus contactos, así solo las personas que conoces pueden ver esta información y puedes evitar intentos de suplantación de identidad por personas desconocidas. Sigue estos pasos para cambiar los ajustes de privacidad de tu cuenta.
Activar mecanismo de acceso a la aplicación
En caso de que lo requieras, es posible añadir un código o huella para abrir la aplicación, de esta forma si alguien tiene acceso físico a tu dispositivo aún necesitará conocer el código de la aplicación o utilizar tu huella para acceder.
¡Cuidado con mensajes o llamadas sospechosas!
Cuando se trata de mensajes o llamadas sospechosas, o de números desconocidos, te recomendamos verificarlos antes de compartir o responder con información personal, privada o que esté vinculada al acceso de tu cuenta como son los códigos que llegan por SMS o de la verificación en dos pasos.
Revisa sesiones abiertas en otros dispositivos
Asegúrate de revisar constantemente las sesiones que has abierto en otros dispositivos o en WhatsApp Web. Si detectas un dispositivo que no reconoces o una sesión que no es tuya, cierrala inmediatamente.
Mantén tu dispositivo móvil y aplicaciones actualizadas
Al estar al día con las actualizaciones nos aseguramos de corregir errores críticos en el sistema operativo o en las aplicaciones como WhatsApp. Estos errores pueden ser utilizados por atacantes para realizar alguna actividad como la intervención de dispositivos mediante malware o phishing.
¿Qué hacer si han robado una cuenta de WhatsApp?
Si sospechas o sabes que una cuenta ha sido comprometida te recomendamos seguir los siguientes pasos, que son listados en el centro de ayuda de WhatsApp en este enlace:
- Si sospechas que tu cuenta está siendo usada por alguien más te recomendamos notificar a tus familiares y amigos, ya que esa persona podría hacerse pasar por ti en tus chats individuales y grupales.
- Si tu cuenta ha sido robada inicia sesión nuevamente e ingresa el código de verificación, luego, activa la autenticación en dos pasos.
- Si no es posible iniciar sesión nuevamente porque la autenticación en dos pasos fue activada por la/el atacante tendrás que esperar 7 días para poder acceder sin el código de verificación en dos pasos.
Si aún tienes dudas de cómo proceder puedes enviar un correo electrónico a support@whatsapp.com con tu número telefónico y detalle de qué pasó.Recuerda que WhatsApp cuenta con una sección dedicada a este tema, por lo que te recomendamos revisarla también.
El robo de cuentas de #WhatsApp se ha vuelto muy popular últimamente. ?
Pensando en eso creamos estas tarjetas con recomendaciones de #CuidadosDigitales para proteger tu cuenta y evitar ser víctima de robo o suplantación de identidad. ? pic.twitter.com/Z6gwoBymJR
— SocialTIC (@socialtic) November 21, 2022
Algunas consideraciones adicionales
- En caso de que alguien acceda a tu cuenta, no podrá ver tus mensajes anteriores, ya que estos se encuentran en tu dispositivo móvil, no en el de la otra persona.
- De igual manera sucede con los respaldos, estos se encuentran vinculados a tu cuenta de Google o iCloud, por lo que para tener acceso a ellos es necesario a su vez acceder a la cuenta de Google o iCloud en cuestión.
- Los respaldos de tus chats no se almacenan de manera cifrada. Puedes ir a la opción de respaldos en la app y activar el cifrado de estos. Para esto tendrás que ingresar una contraseña de cifrado que deberás proporcionar la próxima vez que restaures tu cuenta en otro dispositivo. Así evitarás que puedan acceder a tus respaldos de WhatsApp en caso de robo de tu cuenta de Google o iCloud.
- Recuerda mantener una higiene adecuada en tus chats. Puedes activar los mensajes temporales para que tus conversaciones se borren después de 7 días, o desactivar la descarga automática de archivos multimedia en tu dispositivo, además evitarás saturar el almacenamiento de tu dispositivo móvil.
Yo pensaba que la verificación de dos pasos en WhatsApp sería con el Google code o una tercera app .
Pero es solo unos dígitos como una segunda contraseña ??
¡Hola!
Sí, en el caso de aplicaciones como WhatsApp, Telegram y Signal, la verificación en dos pasos es mediante una contraseña adicional. El primer paso es el código que llega mediante el SMS y el segundo es la contraseña adicional.
Google Authenticator funciona mejor para cuentas en linea como correos electrónicos o redes sociales.