Robo de tú WhatsApp a través de mensajes de texto SMS y llamadas:

De acuerdo a los últimos incidentes se han reportado robo de cuentas WhatsApp dirigido a personas, por lo anterior el objetivo del post es concientizar y brindar recomendaciones efectivas para las personas. Este post se ha realizado en conjunto con Raul Chavez Centeno quien es Analista Informático Forense en Delitos Informáticos.

Victimas:

Dueños de Empresas, Personas de alta responsabilidad en Empresas, Entidades del Estado, Autoridades, Directores, etc.

Ejemplo del mensaje que le llega a la Victima:

Ejemplo del mensaje que el Ciber delincuente envía a la victima para que le reenvié el código y así active la cuenta de Whastapp en otro equipo:

Pasos que usa el Ciberdelincuente:

1. El ciber delincuente logra averiguar tú número de línea móvil.
2. Averigua quiénes son tus contactos más frecuentes, información obtenida de las redes sociales.
3. Crea una cuenta en whatsapp, usando como perfil la imagen de uno de los contactos de la victima.
4. Instala en otro dispositivo la aplicación whatsapp y registra el número de línea móvil de la víctima.
5. Whatsapp para validar el número de celular envía un sms con un código al dispositivo de la victima.
6. Es cuando el ciber delincuente realiza una llamada vía whatsapp a la victima fingiendo ser un familiar o amigo, pidiendo a la víctima que le reenvíe el código de seguridad, para está acción usa su poder de convencimiento a fin de que la víctima haga entrega del código.
7. El ciber delincuente al registrar este código en el dispositivo nuevo, el whatsapp de la víctima se bloqueará de forma automática.
8. El Ciber delincuente empezará a recibir y enviar mensajes a los contactos de la victima solicitando un prestamos de dinero, información confidencial, familiar, personal, etc.
9. El mismo procedimiento de engaño es replicado con los demás contactos de la víctima inicial.
10. En otras ocasiones, los ciber delincuentes suplantan la identidad de la víctima ante las operadoras de telefonía a fin de solicitar el bloqueo del equipo móvil y la línea telefónica, señalando que fueron víctimas de robo. Este lapso de tiempo es aprovechado por los ciber delincuentes para lograr sus objetivos delincuenciales.

Recomendaciones:

A continuación sumamos recomendaciones de WhatsApp (f1) y adicionales según experiencia local:

1. De ninguna manera reenviar un mensaje de texto a un tercero que se hace pasar por un familiar/amigo el cual va activar tu WhatsApp en otra línea móvil. (F9), (F10) y (F11)

1. Activar Verificación en dos pasos en WhatsApp ir a: Ajustes-> Cuenta -> Verificación en dos pasos: Deberás ingresar tu PIN de 06 dígitos cuando vuelvas a registrar tú número de teléfono en WhastApp, también hay opción para colocar tu correo electrónico. (F1)
2. Como alternativa, usar Telegram o Signal y activar Verificación en dos pasos (Two-Step Verification in Privacy and Security settings) para el proceso de registro/activación, en la parte del Anexo se detallará el procedimiento.
3. Corrobore la identidad devolviendo la llamada a tus contactos usando la red celular como una llamada por línea tradicional.
4. No brinde información personal, familiar, laboral.
5. No comparta imágenes de sus documentos personales como el DNI, pasaporte.
6. No brinde información de sus cuentas bancarias.
7. Sí en tu empresa ha ocurrido un caso como el que estamos explicando, es bueno que lo denuncies ya que podría ser una banda que esta afectando a varias empresas/entidades y también si existe un empleado interno divulgando información interna de la organización.

Delitos en los que se incurre:

De acuerdo a la legislación peruana, ley de Delitos Informáticos Ley Nº 30096 (f2) y su modificatoria Ley 30171 (f3):

1. Suplantación de identidad. → Pena (3 a 5 años)
2. Atentado a la integridad de datos informáticos. → Pena (3 a 6 años)
3. Interceptación de datos informáticos. → Pena (3 a 6 años)
4. Fraude informático. → Pena (3 a 8 años)

Fuente (f2): http://www2.congreso.gob.pe/sicr/cendocbib/con5_uibd.nsf/C5F98BB564E5CCCF05258316006064AB/$FILE/6_Ley_30096.pdf

Fuente (f3): https://leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf

Anexo 1: Asegura WhatsApp con Verificación en dos pasos

1. Para el caso de Whatsapp ir a: Ajustes-> Cuenta -> Verificación en dos pasos: Deberás ingresar tu PIN de 06 dígitos cuando vuelvas a registrar tú número de teléfono en WhastApp, también hay opción para colocar tu correo electrónico. (F1) y (F10)

Anexo 2: Asegura Telegram con verificación en dos pasos

Para el caso de Telegram ir a Ajustes -> Privacidad y seguridad -> Seguridad -> Verificación en dos pasos-> Crear tu contraseña (podría ser alfanumérica). (F8)

Pista para la contraseña, Correo de recuperación luego te pide el Código de Verificación que te ha llegado a tu correo electrónico. Finalmente te presenta: Verificación en dos pasos, Cambiar Contraseña, Desactivar Contraseña o Cambiar correo de recuperación.

Anexo 3: Asegura Signal con Bloqueo de Registro a través de un PIN

Para el caso de Signal, ir a Ajustes-> Privacidad -> Bloque de Registro: Añade un nivel de seguridad extra al usar tu PIN de Signal para que sólo tú puedas registrar tu número al volver a instalar Signal, pero antes debes crear un PIN de 04 dígitos.

Para evitar estos riesgos, la última versión de las aplicaciones está introduciendo los PIN de Signal (F5).Un sistema basado en el programa Secure Value Recovery. (F6) y (F7)

Este código PIN actuará como una contraseña personal pero tendrá una diferencia importante respecto a las tradicionales: no será recuperable. La razón es que este código PIN no estará en su base de datos. Para recordarla sí se nos ofrecerán recordatorios periódicos, algo que algunos usuarios por el momento no han recibido precisamente con entusiasmo debido a la molestia de las notificaciones. (F4)

Fuentes:

(F1) FAQ whastapp, stolen accounts, https://faq.whatsapp.com/general/account-and-profile/stolen-accounts/?lang=en

(F2) Ley de delitos informáticos 30096, http://www2.congreso.gob.pe/sicr/cendocbib/con5_uibd.nsf/C5F98BB564E5CCCF05258316006064AB/$FILE/6_Ley_30096.pdf

(F3) Ley 30171 que modifica la ley 30096, ley de delitos informáticos, https://leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf

(F4): Signal y sus códigos PIN muestran el camino para depender menos del número de teléfono a la hora de identificarnos: https://www.xataka.com/privacidad/signal-sus-codigos-pin-muestran-camino-para-depender-numero-telefono-a-hora-identificarnos

(F5): Signal incorpora códigos PIN para depender menos del número de teléfono y permitir la migración de datos. https://www.genbeta.com/actualidad/signal-incorpora-codigos-pin-para-depender-numero-telefono-permitir-migracion-datos

(F6): Technology Preview for secure value recovery, jlund on 19 Dec 2019, https://signal.org/blog/secure-value-recovery/

(F7): Introducing Signal PINs, https://signal.org/blog/signal-pins/

(F8): Telegram FAQ: ¿Cómo funciona la verificación en dos pasos?, https://telegram.org/faq#p-como-funciona-la-verificacion-en-dos-pasos

(F9): Received verification code without requesting it, https://faq.whatsapp.com/general/received-verification-code-without-requesting-it/?lang=en

(F10): Whatsapp Verification about Two step verification, https://faq.whatsapp.com/general/verification/about-two-step-verification

(F11): Video, Whatsapp Verification about Two step verification, https://www.youtube.com/watch?v=H7ebvsiohFo&feature=emb_logo