¡Hola! ¿Usas Whatsapp? Su cuenta puede ser pirateada


¿Alguien puede tomar el handle de su cuenta de WhatsApp con solo conocer su número de teléfono? Hicimos una pequeña prueba para averiguarlo.

Después El teléfono de Jeff Bezos estaba comprometido por un video clip malicioso enviado a través de WhatsApp, es de esperar que todos ustedes piensen en la seguridad de su propio teléfono y piensen con qué facilidad podrían ser pirateados. Hay muchas herramientas, consejos y trucos para proteger mejor a los dos mil millones de usuarios de WhatsApp de los cibercriminales, pero la verdad es que si un actor de amenazas está lo suficientemente dedicado, hay poco que podamos hacer más que protegernos de la mejor manera. posible … y espero que los atacantes se muevan hacia objetivos menos bien defendidos.

Pero cuando se trata de WhatsApp, ¿hay algo más que podamos hacer para proteger nuestra cuenta? Los mensajes ya están encriptados, lo que significa que las personas encargadas de hacer cumplir la ley no pueden investigar esas conversaciones privadas directamente, pero ¿hay otra forma de entrar? La clave de cifrado de un mensaje de WhatsApp está presente en ambos dispositivos que se usan en la conversación, por lo que los actores de amenazas tendrían que tener uno en el otro para leer esos registros de chat.

Aquí es donde la mayoría de los lectores pueden asentir con suficiencia al hecho de que usan un PIN complejo o una entrada biométrica en sus dispositivos. Sin embargo, ¿qué pasaría si pudiera tomar el handle de la cuenta de alguien con solo conocer su número de teléfono? Esto es muy posible y aterrador, pero hay formas de reducir el riesgo y evitar que esto suceda en su cuenta. Los describiré al closing de la publicación del weblog.

¿Entonces, cuál es el problema?

Cuando compra un nuevo teléfono e instala todas sus aplicaciones y configuraciones existentes, restaura desde su copia de seguridad, y WhatsApp requiere que se envíe un código a un número de teléfono. Ese código (generalmente enviado al dispositivo en el que está instalando la aplicación) validará el teléfono y volverá a sus chats. Si también tiene una copia de seguridad de los mensajes, aparecerán hasta la última vez que realizó una copia de seguridad del dispositivo si no, los nombres de las personas y grupos con los que está conversando se mostrarán sin los mensajes.

Aquí es donde noté una falla potencial. ¿Podría configurar la cuenta de WhatsApp de otra persona en un nuevo dispositivo simplemente tomando el código enviado al teléfono del objetivo?

Decidí probar mi hipótesis con uno de mis colegas la semana pasada (que generalmente está en el extremo receptor de mis payasadas de la oficina de ingeniería social pero sigue feliz de participar). Nota: ¡No pruebe esto en nadie que no haya otorgado explícitamente permiso previo!

Recientemente, dije en nuestra conversación que siempre es una buena plan hacer una copia de seguridad de sus chats de WhatsApp, en caso de que no lo hiciera, ya que no quiero que los pierda para siempre. Unos días después, usé mi teléfono de repuesto y descargué la aplicación. Solicitó mi número de teléfono para verificar el dispositivo en el que se iba a instalar.

No pasó mucho tiempo antes de que mi colega dejara su escritorio para hacer un café, dejando su teléfono a la vista en su escritorio, así que ingresé su número de teléfono en mi nueva cuenta de WhatsApp. Su teléfono instantáneamente recibió un mensaje (en silencio) y pasé junto a su escritorio notando mentalmente el código. Lo escribí en el campo de verificación en mi teléfono de repuesto … Et voilà: tenía el regulate de su cuenta.

Pude ver todos sus chats en la aplicación pero no mensajes. Para llevar mi prueba al siguiente nivel, encontré un chat llamado «The Hunz», al que envié el mensaje «¡Hey! Tener un día de basura … ¡envía memes! a lo que recibí un montón de respuestas graciosas de sus amigos desprevenidos.

Cuando mi colega regresó a su escritorio con su café con leche, no se dio cuenta del hecho de que estaba en una conversación meme con sus amigas mientras me reía para mis adentros. Pasaron unos minutos hasta que miró su teléfono y dijo en voz alta «Eso es extraño, he recibido un código de WhatsApp por alguna razón». Noté su mirada pensativa, pero luego supe que todo lo que hizo fue eliminarlo.

Entonces decidí aclararme y le conté lo que acababa de pasar. No podía creer lo fácil que había sido hacerse cargo de su cuenta y sintió que debería haber más seguridad para los usuarios típicos. Mencionó con razón que muchas personas dejan sus teléfonos sin vigilancia pero no piensan en ello, incluso en lugares públicos como restaurantes y bares. Pronto invertí mis movimientos hacia su teléfono y la puse firmemente de nuevo en control de su cuenta y luego le ofrecí consejos sobre cómo detener ese ataque.

Entonces, ¿cómo puedes mantenerte a salvo?

En primer lugar, debe desactivar las vistas previas en sus mensajes SMS. Esto puede sonar obvio, pero muchas personas desean la conveniencia de mirar los mensajes aún más rápidamente. Cuando las personas usan la verificación en dos pasos (también conocida como Autenticación de dos factores) sin una aplicación de autenticación, tienden a recibir códigos enviados por SMS, pero si se pueden ver en una pantalla bloqueada, no tienen sentido para un usuario que ha dejado su teléfono desatendido.

Por lo tanto, en segundo lugar, nunca debe dejar su teléfono o dispositivo desatendido. He visto a innumerables personas en el tren quedarse dormidas con sus teléfonos en la mesa o incluso ir al baño mientras dejan sus teléfonos rodeados de extraños. Además, hay muchas manzanas podridas en las empresas, por lo que incluso si confía en sus colegas, siempre existe la posibilidad de que otra persona en el negocio intente este vector de ataque, por lo que es mejor no dejar solo su dispositivo.

Finalmente, hay una forma aún mejor de proteger su cuenta que debe completarse en este momento. WhatsApp creó su propio Verificación de dos pasos para la aplicación hace unos años, que es fácil de seguir y evitará que este ataque tenga éxito. A continuación se muestra el proceso de cómo hacerlo, ¡así que abra la aplicación y configúrela!

Cómo configurar la verificación en dos pasos en WhatsApp

Con la aplicación abierta, dirígete a Configuración / Cuenta / Verificación en dos pasos y haga clic en Habilitar. Luego, ingrese un código de seis dígitos que no olvidará.

Luego ingrese su dirección de correo electrónico como un additional a prueba de fallas. Finalmente, verá la confirmación de la verificación en dos pasos configurada en su teléfono, por lo que será mucho más difícil para alguien poder secuestrar su cuenta o transferir sus mensajes a otro dispositivo.

Ahora se le pedirá el PIN en momentos aleatorios cuando abra WhatsApp. No siempre se abre la aplicación, por lo que no debería ser un inconveniente.

Sin embargo, lo preparará mejor para disfrutar de una tecnología más segura.








Enlace a la noticia unique