• La verificación en dos pasos y el reconocimiento biométrico son algunas de las claves que mejoran la seguridad de WhatsApp

Conforme la tecnología ha evolucionado, los ciberataques se han hecho más frecuentes, incluso a través de aplicaciones como WhatsApp. La compañía de bioseguridad Kaspersky registró 1.3 millones de atentados digitales desde enero hasta septiembre de 2020 en Latinoamérica, cuya lista es encabezada por Brasil, México, Colombia, Perú y Ecuador. Por eso mantener la seguridad de WhatsApp es tan importante.

Además, Kaspersky registra 5.000 ataques de ransomware cada día. Un analista de esta empresa asegura que aproximadamente un 55% de todas las computadoras de América Latina usan Windows 7 y el 5% Windows XP, los cuales ya no cuentan con soporte técnico y son más propensos a los ataques cibernéticos.

Ransomware. Es un programa cibernético que inhabilita el acceso a determinados archivos o áreas del sistema operativo infectado y pide una especie de rescate a cambio.

De acuerdo con el balance realizado por Zendesk, una empresa de software, WhatsApp es la aplicación de mensajería líder en 112 países, incluida toda Latinoamérica. Esto realza la gravedad de los daños ocasionados por este tipo de acciones. 

Kaspersky afirma que el 70% de los ciberataques son dirigidos hacia las empresas, aunque el resto de los usuarios siguen estando en riesgo. 

¿Cómo mejorar la protección de WhatsApp? 

1. Emplear la verificación en dos pasos 

Paloma Szerman, gerente de políticas públicas de WhatsApp para América Latina, indicó que la verificación en dos pasos es uno de los consejos óptimos para mejorar la seguridad de la mensajería. 

La secuencia de pasos es la siguiente: Ingresar en la aplicación WhatsApp > Menú de Ajustes > Cuenta > Verificación en dos pasos. 

Posteriormente ,se indicará que seleccione un PIN de seis dígitos, los cuales serán solicitados siempre que se intente registrar el número a un nuevo dispositivo. Esto no sustituye la verificación por mensajes de texto (SMS), por lo que ambas estarán activas. Una vez agregado el PIN, la app pedirá un correo electrónico preventivo en caso de que el usuario olvide los números y deba restaurarlos. 

2. Evitar los fraudes del QR 

Una práctica que se ha incrementado en los últimos meses es solicitar el código QR a las personas para secuestrar sus cuentas. Cuando un desconocido pide este dato, existen muchas probabilidades de que se trate de un fraude, explicó Dmitry Bestuzhev, director del equipo global de Investigación y Análisis en Latinoamérica de Kaspersky. 

Nunca hay que reenviar este código ni decírselo verbalmente a ninguna persona”, dijo Bestuzhev. También recomendó siempre usar un escáner QR seguro, el cual se puede reconocer porque “antes de abrir un archivo te dice qué es y te da la reputación de este enlace, si es malicioso o sospechoso, y no tomará una acción automática de abrir la página”.

3. Tener cuidado con quién compartir el celular y el QR 

La directiva de WhatsApp recomienda no compartir el código de seguridad (enviado por SMS al registrar la cuenta) con nadie, salvo casos puntuales de total confianza, y tener las mismas medidas respecto al PIN de verificación en dos pasos. 

De igual forma explican que el acceso al dispositivo debe ser de cuidado y evitar que lo usen otros, de ser posible.

“Ten cuidado con quién tiene acceso físico al teléfono”, advierte Bestuzhev, ya que no solo podría utilizar la cuenta de WhatsApp sino que además podría robar el código QR. 

Foto cortesía

4. Emplear las opciones avanzadas de seguridad de WhatsApp

Uno de los pasos es la verificación en dos pasos que se detalló en el primer punto. La otra es el reconocimiento biométrico y su secuencia de pasos es la siguiente (en la mayoría de los celulares): Ingresar en la aplicación WhatsApp > Ajustes > Seguridad y privacidad > Bloqueo de aplicaciones. 

El reconocimiento biométrico funciona de igual forma que la verificación en dos pasos, aunque puntualmente para las aplicaciones. Es decir, consiste en asignar un PIN de seguridad específico para las apps que el usuario decida bloquear.

Adicionalmente, se debe establecer la respuesta de una pregunta secreta, la cual servirá para restablecer el PIN en caso de que se olvide. 

Estos son “ajustes que no necesariamente te van a salvar tu línea, pero la privacidad siempre es buena”, estimó Bestuzhev.

Ataques comunes en WhatsApp 

Kasperksy detalló dos de los ataques que más suele registrar y abordar su equipo de trabajo. El primero de ellos consiste en intentar registrar el número con el WhatsApp de la víctima en otro dispositivo; a esta última le llega un SMS de verificación. Posteriormente el delincuente contacta a la víctima para decirle que ganó un premio, pero para recibirlo necesita que le reenvíe el código de verificación que le llegó y así corroborar que sea el indicado. 

“Ya con este código, (el atacante) lo pone en otro dispositivo donde esté registrando el WhatsApp y con eso llega a tener el control de la cuenta. (…) Luego lo que hace es inmediatamente habilitar la autenticación de dos pasos y la víctima se quedará sin su WhatsApp”, agregó Bestuzhev.

La segunda forma en la que se han realizado los fraudes es clonando las líneas por medio de la versión de escritorio, acota la empresa. 

Se le dice a la víctima que escanee un código QR por cualquier motivo. La persona con su celular puede escanear este código que pueden tener donde quiera (en una página web, mandarlo al correo electrónico de la víctima). La víctima lo escanea y se va a clonar la sesión”. –Dmitry Bestuzhev, director del equipo global de Investigación y Análisis en Latinoamérica de Kaspersky.

¿Cómo recuperar una cuenta de WhatsApp hackeada?

Como primera medida, se debe reinstalar WhatsApp y esperar el código de activación para poder iniciar sesión. Es un código de seis dígitos que llegará por SMS o mensaje de voz. Apenas se recupere el acceso a la cuenta, se debe activar el segundo factor de autenticación. 

Cuando se activa esta opción, cada vez que se busque verificar la cuenta de WhatsApp en algún nuevo dispositivo, se solicitará esa clave.

¿Qué pasa si el atacante configuró un PIN de seguridad y no se puede recuperar la cuenta aunque se hayan seguido los pasos indicados? Si el atacante que robó la cuenta configuró el segundo factor de autenticación, se debe esperar siete días para verificar el número sin el código de verificación en dos pasos. Independientemente de si se conoce el código de verificación en dos pasos o no, la sesión de la persona con acceso a la cuenta se cerrará en cuanto se ingrese el código de seis dígitos enviado por SMS, explican desde WhatsApp.

Pasados esos siete días, se va a poder verificar el número sin necesidad de introducir el PIN, pero todos los mensajes recibidos durante ese periodo se eliminarán y no se podrán recuperar. Si transcurrieron más de 30 días desde que se usó WhatsApp por última vez, la cuenta será eliminada pero se podrá crear una nueva, verificar el número y establecer un nuevo PIN.

Además de todo esto, se puede contactar a la plataforma para reportar este hecho de seguridad de WhatsApp. Se hace escribiendo a support@whatsapp.com y mencionando en el asunto: “Pérdida/Robo: desactivar mi cuenta”.

Noticias relacionadas