Nueva advertencia de WhatsApp ¡hackers maliciosos atacan de nuevo!

Nueva advertencia de WhatsApp, como hackers maliciosos atacan de nuevo, Esto es lo que hacen:

Es el hack malicioso de WhatsApp que no va a desaparecer, funciona, es eficaz, y permite a un hacker secuestrar su cuenta y cometer fraude contra sus amigos y colegas. Y ahora ha vuelto, con un giro desagradable. El truco es simple, confiando en que usted hace algo que absolutamente no debe. Y, lo que es peor, hay un ajuste que tú y todos los demás pueden actualizar para protegerse completamente.

Cubrí por primera vez este hack en enero,aunque hubo informes que se remontan al año pasado. Se basa en la ingeniería social y la complacencia de la seguridad de los usuarios. Es el hackeo que recibo más correos electrónicos sobre, todavía hasta el día de hoy, como los usuarios de todo el mundo luchan para restaurar sus cuentas después de ser víctima. Asegúrate de no unirte a ellos, así es como funciona y lo que debes hacer.

A pesar de enviar sus mensajes a través de cualquier portador de Internet, WhatsApp todavía está vinculado a su número de teléfono. Esto es fundamental para su funcionamiento: su número de teléfono es su identificador único y la aplicación solo puede estar en un dispositivo a la vez, aunque su plataforma de acceso web proporcione una ventana a ese dispositivo.

Más populares en: Ciberseguridad.

Debido a que así es como funciona WhatsApp, cuando un usuario cambia su teléfono o reinstala la aplicación, WhatsApp necesita verificar que el nuevo dispositivo está vinculado al número de teléfono del usuario. Esto se hace a través de un SMS de verificación con un código de seis dígitos. Una vez que el usuario toca en el código correcto, la nueva instalación de WhatsApp está habilitada y todos los mensajes enviados a ese usuario llegarán a ese dispositivo.

Es importante destacar que esto no restaura ninguna copia de seguridad de mensajería, que se administran mediante el proceso de copia de seguridad del dispositivo, diferente para iOS y Android. Pero incluso restaurar una copia de seguridad no registrará un nuevo dispositivo en su cuenta de WhatsApp hasta que haya solicitado, recibido e introducido ese código de verificación de SMS.

Lo que en realidad fue pensado como una fuerza de seguridad es en realidad una debilidad sorpresa. WhatsApp no comprueba el número de teléfono en el propio dispositivo, confiando en ese SMS. Y así, si un atacante conoce su número y puede obtener su código de verificación, pueden secuestrar su cuenta e instalar su WhatsApp en su dispositivo, a pesar de que su dispositivo tiene un número de teléfono diferente a su propio.

Hasta ahora, el hackó se basaba en engañar a los usuarios para que renunciaran a sus códigos de verificación de SMS a un supuesto amigo o contacto. Esto fue un truco. Lo que está sucediendo entre bastidores es que un atacante ya ha secuestrado la cuenta de WhatsApp o Facebook de un amigo. Luego te envían un mensaje en la línea de "mi SMS no funciona, WhatsApp necesita enviar un código y no puede, así que les he pedido que te lo envíen en su lugar. Por favor, adelante."

Obviamente, el código que recibes se relaciona con tu propia cuenta, no con tus "amigos", y al reenviar ese código, esencialmente estás proporcionando a un atacante todo lo que necesitan para secuestrar tu cuenta.

Ahora hay un nuevo giro. Como se informó por primera vez por WABetaInfo después de una pregunta de un seguidor de Twitter, parece que los atacantes han tomado a la suplantación de mensajes de WhatsApp sí mismo, pidiendo a los usuarios para esos códigos. Claramente un intento de secuestro de la cuenta. La metodología ha cambiado, pero el vector de ataque es exactamente el mismo. No importa cómo se haga esto, el riesgo es el mismo y la solución es la misma, como se detalla a continuación.

El mes pasado, Jake Moore de ESET mostró la facilidad con la que podía secuestrar la cuenta de un colega,viendo la vista previa por SMS de un código de verificación enviado a su teléfono desatendido. "No podía creer lo fácil que era asumir una cuenta y sentía que debería haber más seguridad para los usuarios desprevenidos", explica Moore. "Mencionó con razón que muchas personas dejan sus teléfonos desatendidos, pero no piensan en ello, incluso en lugares públicos como restaurantes y bares".

Hay una solución y es esto. Te llevará 30 segundos y nunca tendrás tu cuenta de WhatsApp secuestrada de esta manera. Debes hacer esto ahora.

Confusamente, hay un código de seis dígitos diferente enterrado en WhatsApp que puedes configurar ahora con un número de tu elección, uno que no será conocido por WhatsApp ni por nadie más. Con este"Verificación en dos pasos"en su lugar, incluso con su código de verificación de SMS un atacante NO PUEDE secuestrar su cuenta. Aún mejor, tu aplicación de WhatsApp ocasionalmente te pedirá que introduzcas el código sólo para comprobar que estás tocando en el teclado.

Mantenga su cuenta segura Whatsapp

"Cuando tienes habilitada la verificación en dos pasos", dice WhatsApp, "cualquier intento de verificar tu número de teléfono debe ir acompañado del PIN de seis dígitos que creaste con esta función". En pocas palabras, el hack NO funcionará. También debe introducir una dirección de correo electrónico de copia de seguridad como se le solicite, esto garantizará que no pueda ser bloqueado fuera de su teléfono si olvida su propio nuevo PIN.

"No hace falta decir que debe configurar la autenticación de dos factores en cada cuenta que lo ofrece", me dice Moore, "pero muchos usuarios no ven WhatsApp como otras aplicaciones y por lo tanto pueden olvidarse de activarlo".

Este es el quid. Casi todos los que leen este artículo todavía habrán descuidado configurar ese código. Es crítico. La otra razón por la que debe actualizar esta configuración, es que permitirá que un atacante configure la verificación en dos pasos en su cuenta si no lo hace. Y eso significará un retraso antes de recuperar su cuenta.

Si eso sucede, sin embargo, las cuentas de WhatsApp se pueden recuperar sin el código de verificación en dos pasos del atacante, siempre y cuando tenga un nuevo código SMS. Sin embargo, perderás los mensajes pendientes. Además, si esperas demasiado antes de restaurar en esas circunstancias, tu cuenta se eliminará y se restablecerá. WhatsApp proporciona todos los detalles de la forma en que funciona la verificación en el caso de una cuenta perdida aquí.

"Una vez que los usuarios tienen su cuenta de WhatsApp configurada, es posible que no vean que todavía supone un riesgo que podría perder el acceso a su cuenta incluso con un simple surf en el hombro", dice Moore. "Aunque la regla de distancia social de 2 metros puede hacer este ataque más difícil, sin embargo, resalta un buen recordatorio para nunca dejar el teléfono desatendido y nunca dejar que nadie sepa el SMS."

WhatsApp está a la vanguardia de la mensajería segura y cifrada. Y como he informado este mes, la seguridad de la plataforma está mejorando continuamente. El último movimiento planificado consiste en ampliar el cifrado de extremo a extremo a las copias de seguridad en la nube. Pero, como siempre con la seguridad de los datos, son las cosas simples que decepciona al sistema.

Para cualquier persona que ha sido víctima de este hack, WhatsApp ha proporcionado una guía de cuentas robadas que explica las diversas opciones de recuperación y líneas de tiempo. "Da todos los consejos que los usuarios deben necesitar en caso de que sus cuentas sean secuestradas", me dijo WhatsApp, "y cómo evitar que suceda".

Bien, ahora que has leído el artículo, por favor ve y configura la verificación en dos pasos de WhatsApp de inmediato. No te arriesgues a que te olvides.

Fuente: forbes.com