El secuestro de perfiles no requiere hackeos complejos de software, sino la vulneración del sistema de validación por SMS o buzón de voz.
Los reportes de robo de cuentas de WhatsApp mantienen una tasa alta en la región. Desmontando el mito del “hacker”, la maniobra se basa en ingeniería social y fallos en la configuración básica de los dispositivos celulares.
- Vulneración del código de 6 dígitos: El atacante instala WhatsApp en su teléfono e ingresa el número de la víctima. El servidor de Meta envía un código SMS al teléfono real. El atacante llama a la víctima, fingiendo ser del Ministerio de Salud, un banco o el soporte de Whatsapp, y le solicita ese número bajo cualquier excusa. Si la víctima lo dicta, pierde la cuenta.
- El punto ciego del buzón de voz: Si la víctima no atiende, el atacante selecciona la opción “Llámame” en WhatsApp. La llamada automatizada de Meta va directamente al buzón de voz de la víctima (que muchas veces tiene la contraseña predeterminada de fábrica de la operadora telefónica). El atacante accede al buzón de voz a distancia, escucha el código y roba el perfil.
- El parche de seguridad: La única barrera técnica efectiva contra esto es activar la “Verificación en dos pasos” dentro de los ajustes de WhatsApp. Esto exige un PIN alfanumérico creado por el usuario que el atacante no podrá obtener ni por SMS ni por el buzón de voz.
Redactado por NerdStore con asistencia de ingeniería avanzada.