«¡Hola, acabo de encontrar tu foto!», es un texto simple que no debería generar alarma cuando se recibe de un amigo de confianza, pero podría ser algo mucho más siniestro.

El texto incluye un enlace, y al seguirlo, la página web se parece y es familiar. Es una página de verificación de Facebook, que solicita tu número de teléfono. WhatsApp luego te envía un código, y la página te pide que lo ingreses.

Pero si lo haces, ya has perdido el control de tu cuenta de WhatsApp, todo sin necesidad de robar contraseñas ni trucos complicados.

El atacante puede entonces utilizar tu WhatsApp para dirigirte a tus contactos o para estafar a la gente, haciéndose pasar por ti.

La estafa, denominada «emparejamiento fantasma» por las empresas de ciberseguridad, es la última de una serie de estafas de robo de cuentas que se están extendiendo este año, y muchas de ellas se basan en engañarte para que ingreses un código PIN para que los ciberdelincuentes puedan tomar el control de tu cuenta.

¿Cómo funciona la estafa?

La estafa se está extendiendo rápidamente en la actualidad, según la empresa de ciberseguridad Avast. Se basa en engañarte para que uses los propios sistemas de WhatsApp para permitir el acceso al hacker.

El enlace en el texto puede parecer una página web legítima de WhatsApp o Facebook, y dado que ambas son propiedad de Meta, comparten muchos sistemas. Pero la página no es real, es una página falsa creada por un hacker.

Los mensajes de la estafa se parecen a este, aunque hay una variedad de URLs (Avast).

(Avast)

La empresa de ciberseguridad Malwarebytes dice que una señal de advertencia es que la URL contiene referencias a fotos o publicaciones, que incluyen, por ejemplo:

Estas URLs son una señal de que el sitio web no es auténtico, y no se deben introducir datos personales en ellas.

Si se introduce un número, WhatsApp envía entonces un código de autenticación real, que, si se introduce en el sitio web falso, significa que los hackers ahora tendrán acceso a tu cuenta.

• El código QR como trampa que convierte los paquetes misteriosos en una preocupante estafa
• La ingeniosa estafa del grupo de chat de WhatsApp que vende entradas falsas
• Cometí un error en FaceTime – llevó a una estafa de entradas de 15.000 libras

El hacker entonces establece su dispositivo como un dispositivo vinculado en tu cuenta, de forma similar a como se vincula una cuenta de WhatsApp a un nuevo teléfono o portátil.

En cuanto esto ocurre, el hacker tiene acceso ilimitado a tu cuenta, puede leer todos tus mensajes, ver tus imágenes y enviar mensajes como si fuera tú.

Esto también es cómo puedes recibir el mensaje de un contacto de confianza, incluso si es un amigo con el que te comunicas regularmente. Si te están enviando un mensaje con un enlace sospechoso, ellos mismos pueden haber caído en la trampa.

Los estafadores entonces leen todos sus mensajes y intentan estafar a sus contactos cercanos, confiando en la confianza que han construido.

La página de estafa parece una página oficial de Facebook y WhatsApp. (Gen/Malwarebytes)

(Gen/Malwarebytes)

El Dr. Martin Kraemer, experto en ciberseguridad de KnowBe4, dijo a Yahoo News: «Los ataques de enlace son, lamentablemente, lo mismo que entregar al atacante las llaves de su puerta, otorgando acceso ilimitado.

«Son un excelente ejemplo de ingeniería social, explotando un proceso legítimo, lo que los hace tan peligrosos y difíciles de revertir».

¿Qué debe hacer si es víctima?

Si es víctima, revoca inmediatamente el acceso del hacker.

El hacker está instalado como un dispositivo vinculado en su cuenta, por lo que debe eliminar rápidamente todos los dispositivos vinculados de su cuenta, excepto el dispositivo que está utilizando en ese momento.

Para hacer esto, vaya a Configuración > Dispositivos vinculados y desvincule todos los dispositivos.

¿Qué puede hacer para mantenerse seguro en el futuro?

Kraemer aconseja tener extrema precaución con los enlaces enviados en un chat de WhatsApp, incluso de amigos cercanos.

BuzzFeed

336

PetHelpful

Razón X para la que se advierte a los visitantes de una popular playa de Gales

Wales Online

Se advierte a propietario tras compartir fotos antes y después del jardín delantero: ‘Recomiendo quitar [esas]’

The Cool Down

Si tienes dudas, contacta con ellos a través de otro canal, no WhatsApp, en caso de que su cuenta esté comprometida.

Para evitar otras estafas, activa la autenticación de dos factores en WhatsApp.

Para activarla, toca Cuenta > Verificación en dos pasos > Activar o Configurar PIN. Esto crea un código PIN, lo que dificulta que los delincuentes accedan a tu cuenta.

También puedes añadir una dirección de correo electrónico a la cuenta, lo que también facilita la recuperación en el futuro.