El atacante está ahí en paralelo, leyendo todo, enviando mensajes
En un tiempo en que la confianza digital se construye sobre identidades prestadas, el Instituto Nacional de Ciberseguridad advierte que los atacantes han aprendido a hablar con la voz de quienes ya conocemos. A través de mensajes aparentemente enviados por amigos o familiares, los ciberdelincuentes manipulan a sus víctimas para que entreguen, sin saberlo, las llaves de su vida privada en WhatsApp. El engaño no explota fallos técnicos, sino algo más antiguo y difícil de parchear: la tendencia humana a confiar en lo familiar.
- El Incibe emitió una alerta urgente ante el aumento de robos de cuentas de WhatsApp mediante técnicas de ingeniería social que explotan la confianza entre contactos.
- Los atacantes se valen de cuentas ya comprometidas para enviar enlaces fraudulentos que imitan servicios de Meta, engañando a las víctimas para que entreguen su código de doble verificación.
- Una vez vinculado el dispositivo del atacante, este obtiene acceso total a conversaciones, archivos e identidad digital de la víctima, y puede propagar el fraude a toda su red de contactos.
- Las víctimas pueden permanecer sin saberlo durante un tiempo prolongado, mientras el atacante opera en su nombre de forma continua y silenciosa.
- El Incibe recomienda no pulsar enlaces sospechosos, verificar mensajes extraños por otros canales y nunca compartir códigos de verificación recibidos por SMS con nadie.
El viernes, el Instituto Nacional de Ciberseguridad lanzó una alerta sobre una técnica en auge para robar cuentas de WhatsApp. Todo comienza con un mensaje que parece llegar de alguien conocido —cuya cuenta ya ha sido previamente comprometida— acompañado de un enlace y un pretexto cotidiano: una foto, una etiqueta, algo que invita a hacer clic sin sospechar.
Al acceder al enlace, la víctima llega a una página falsa que imita servicios de Meta con suficiente fidelidad para parecer legítima. Allí se le guía a través de pasos que simulan vincular WhatsApp a un dispositivo secundario. Lo que ocurre en realidad es que el atacante está conectando la cuenta a un dispositivo bajo su propio control, valiéndose del código de doble verificación que llega por SMS y que la víctima, sin darse cuenta, termina facilitando.
Las consecuencias son amplias: el criminal accede a todas las conversaciones y archivos almacenados, puede suplantar a la víctima ante sus contactos y mantiene ese acceso de forma continua mientras el dispositivo permanezca vinculado. El fraude se propaga así de cuenta en cuenta, alimentándose de la misma confianza que pretende imitar.
El Incibe insiste en medidas concretas: desconfiar de enlaces inesperados aunque provengan de contactos conocidos, verificar cualquier mensaje extraño a través de otro canal de comunicación, activar el doble factor de verificación y, sobre todo, no compartir jamás los códigos recibidos por SMS. La defensa más eficaz, recuerda el organismo, no es tecnológica sino de criterio: detenerse un momento antes de actuar.
El Instituto Nacional de Ciberseguridad emitió una alerta el viernes sobre un método cada vez más frecuente para robar cuentas de WhatsApp. La técnica comienza de forma aparentemente inofensiva: un mensaje que llega desde alguien que conoces, pero cuya cuenta ha sido comprometida previamente por los atacantes.
El mensaje contiene un enlace acompañado de un pretexto común. Algo como "¿eres tú en esta foto?" o "mira esta foto en la que te he etiquetado". Cuando la víctima hace clic, es redirigida a una página fraudulenta que imita servicios de Meta —Facebook, Instagram u otros similares. El diseño es lo suficientemente convincente para que parezca legítimo. Una vez dentro, se le pide que introduzca su número de teléfono y complete una serie de pasos que simulan el proceso normal de vincular WhatsApp a un dispositivo secundario, como cuando se usa WhatsApp Web o la versión de escritorio.
Lo que sucede en realidad es que el atacante está vinculando la cuenta a un dispositivo bajo su control. El Incibe subraya que esta técnica se basa en ingeniería social —manipulación psicológica— y que el objetivo es obtener el código de doble verificación que normalmente llega por SMS. Los ciberdelincuentes utilizan distintos engaños para conseguirlo, y a veces la propia víctima lo facilita sin darse cuenta de lo que está ocurriendo.
Una vez que el dispositivo del atacante está vinculado a la cuenta, el daño es considerable. El criminal tiene acceso completo a todas las conversaciones y archivos que se hayan compartido en esa cuenta. Puede enviar mensajes haciéndose pasar por la víctima, propagando el fraude a sus contactos. Lo más preocupante es que mientras el dispositivo permanezca vinculado, el atacante mantiene acceso continuo a la cuenta, incluso si la víctima no se da cuenta de que algo ha sucedido.
El Incibe ha ofrecido recomendaciones para protegerse. La más fundamental es no hacer clic en enlaces que parezcan sospechosos ni descargar archivos de origen dudoso. Si recibes un enlace de alguien que conoces pero que te parece extraño, lo mejor es verificarlo contactando a esa persona a través de otro canal —una llamada, un mensaje de texto directo, cualquier medio que no sea el enlace en cuestión. Activar el doble factor de verificación es esencial, pero igualmente importante es nunca compartir el código que recibes por SMS con nadie, bajo ninguna circunstancia. También se debe evitar facilitar información personal, datos bancarios o cualquier credencial de acceso a través de enlaces o formularios en línea que no hayas iniciado tú mismo.
Notable Quotes
Este código se recibe por SMS y los ciberdelincuentes utilizan distintos engaños para conseguirlo. A veces es facilitado involuntariamente por la propia víctima— Instituto Nacional de Ciberseguridad (Incibe)
Mientras no se desvincule el dispositivo, el atacante seguirá teniendo acceso a la misma— Instituto Nacional de Ciberseguridad (Incibe)
The Hearth Conversation Another angle on the story
¿Por qué este método es tan efectivo si la mayoría de la gente sabe que no debe hacer clic en enlaces sospechosos?
Porque no parece sospechoso al principio. El mensaje viene de alguien que conoces, alguien en tu lista de contactos. Tu cerebro confía en esa persona. El pretexto —una foto, una etiqueta— es algo que esa persona podría haber hecho legítimamente. Bajas la guardia.
¿Y una vez que el atacante está dentro, puede la víctima darse cuenta de que algo está mal?
Posiblemente no, al menos no de inmediato. La víctima sigue teniendo acceso a su cuenta. Puede seguir usando WhatsApp normalmente. El atacante está ahí en paralelo, leyendo todo, enviando mensajes. Es como si alguien tuviera una copia de tus llaves.
¿Qué pasa con el código de doble verificación? ¿No debería alertar a la víctima que alguien está intentando acceder?
Debería, pero aquí está el truco: el atacante ya tiene el código. Lo obtuvo a través de la página fraudulenta. La víctima nunca ve una notificación de intento de acceso porque el atacante ya pasó esa barrera.
¿Entonces el doble factor de verificación no protege en este caso?
No completamente. El doble factor es una buena defensa, pero solo si lo configuras correctamente y no compartes el código. El problema es que en este ataque, la víctima comparte el código sin saberlo, creyendo que está haciendo algo legítimo.
¿Cuál es el verdadero riesgo para los contactos de la víctima?
Que el atacante puede enviar mensajes haciéndose pasar por la víctima. Puede pedirles dinero, compartir enlaces maliciosos, propagar el mismo fraude. La confianza que tus contactos tienen en ti se convierte en una herramienta contra ellos.