Por Sebastián Vargas Yáñez – Doctorando, Magíster e Ingeniero Civil en informática especialista TI y Ciberseguridad.
Muchas veces cuando pensamos en grandes vulneraciones a nuestra seguridad personal pensamos en técnicas sofisticadas o de nueva generación. No obstante, no podemos olvidar la frase “old is cool”, pues ya existe mucha literatura al respecto que data del 2015 y también investigaciones en Chile, donde daban luces de que esta técnica antigua, podía tener cabida en los delincuentes locales, pero ¿cómo realizan esto?
Método de las Bandas criminales
- Estudian el método internacional ya documentado
- Seleccionan un grupo de targets, con miles de teléfonos chilenos.
- Seleccionan las víctimas de compañías telefónicas que tengan esta vulnerabilidad en Chile
- Descargan Whatsapp en un teléfono móvil, donde procede a solicitar código de verificación, como las políticas de Whatsapp son que después de cierto tiempo, sin ingresar el código verificador, te permite solicitar realiza una llamada con el código.
- Mediante 3 llamadas simultáneas genera que el teléfono de la víctima, envíe a buzón de voz
- Acá es donde el delincuente, ocupa la técnica de buzón de voz remoto
- En algunos casos, el acceso viene controlado por defecto en el contestador mediante una clave tipo “0000”, y es que estos esquemas de contraseñas poco seguras pero famosas como “1234” o “admin”, suelen venir incluidas de partida en muchos de los servicios de telecomunicaciones más utilizados. (AdslZone 2021)
- Una vez con el código verificador recuperado por voz desde el buzón remoto, ingresa al Whatsapp de la víctima
- Se conecta a los grupos, y extrae todos los contactos para continuar sumando más target
- Suma estos accesos e inicia campañas de ingeniería Social, para solicitar dinero a los contactos de las personas suplantadas.
Ya la policía cibernética de Mexico advertía de este modo operandis en Septiembre del 2021
¿Cómo puedes prevenir este ataque?
- Optando por una compañía que se preocupe de la seguridad de tu buzón de voz desactivándolo por defecto.
- Activar 2FA con correo de recuperación en Whatsapp