Por Sebastián Vargas Yáñez – Doctorando, Magíster e Ingeniero Civil en informática especialista TI y Ciberseguridad.

Muchas veces cuando pensamos en grandes vulneraciones a nuestra seguridad personal pensamos en técnicas sofisticadas o de nueva generación. No obstante, no podemos olvidar la frase “old is cool”, pues ya existe mucha literatura al respecto que data del 2015 y también investigaciones en Chile, donde daban luces de que esta técnica antigua, podía tener cabida en los delincuentes locales, pero ¿cómo realizan esto?

Método de las Bandas criminales 

1. Estudian el método internacional ya documentado
2. Seleccionan un grupo de targets, con miles de teléfonos chilenos.
3. Seleccionan las víctimas de compañías telefónicas que tengan esta vulnerabilidad en Chile
4. Descargan Whatsapp en un teléfono móvil, donde procede a solicitar código de verificación, como las políticas de Whatsapp son que después de cierto tiempo, sin ingresar el código verificador, te permite solicitar realiza una llamada con el código.
5. Mediante 3 llamadas simultáneas genera que el teléfono de la víctima, envíe a buzón de voz
6. Acá es donde el delincuente, ocupa la técnica de buzón de voz remoto
7. En algunos casos, el acceso viene controlado por defecto en el contestador mediante una clave tipo “0000”, y es que estos esquemas de contraseñas poco seguras pero famosas como “1234” o “admin”, suelen venir incluidas de partida en muchos de los servicios de telecomunicaciones más utilizados. (AdslZone 2021) 
8. Una vez con el código verificador recuperado por voz desde el buzón remoto, ingresa al Whatsapp de la víctima
9. Se conecta a los grupos, y extrae todos los contactos para continuar sumando más target 
10. Suma estos accesos e inicia campañas de ingeniería Social, para solicitar dinero a los contactos de las personas suplantadas.

Ya la policía cibernética de Mexico advertía de este modo operandis en Septiembre del 2021

¿Cómo puedes prevenir este ataque?

• Optando por una compañía que se preocupe de la seguridad de tu buzón de voz desactivándolo por defecto.
• Activar 2FA con correo de recuperación en Whatsapp