Secuestro (o clonación) de cuentas de WhatsApp: ¿cómo recuperar una cuenta secuestrada?
En un país como Colombia, donde WhatsApp es una de las principales plataformas de comunicación, la importancia de seguir las recomendaciones de seguridad y estar alerta frente a estas amenazas no puede subestimarse.
Hace pocos días, un colega periodista me envió un mensaje a través de WhatsApp. El chat era directo y alarmante: estaba en una situación urgente y necesitaba una transferencia de dinero de inmediato.
Su petición era sospechosa, por eso me abstuve a la solicitud y no hice la transferencia. Más tarde, ese mismo día, descubrí que mi colega nunca envió ese mensaje y que su cuenta de WhatsApp había sido secuestrada por delincuentes que la utilizaron cometer esa estafa a otros de sus contactos, quienes sí cayeron en el engaño.
Este escenario no es un hecho aislado, sino que se ha vuelto cada vez más común en Colombia. Los cibercriminales están encontrando en WhatsApp una vía efectiva para llevar a cabo este tipo de delitos, valiéndose de tácticas de ingeniería social y aprovechando fallos en la seguridad de las cuentas. Cualquier usuario de esta aplicación es susceptible de ser víctima si no toma las precauciones necesarias.
El método de hackeo más común
En Colombia, el secuestro de cuentas de WhatsApp (también llamado clonación de cuentas) ha tomado cada vez más fuerza a través de un método que consiste en solicitar el código de verificación que WhatsApp envía por SMS para verificar la identidad del propietario de la cuenta.
Según David González, especialista en Seguridad Informática de ESET Latinoamérica, este modus operandi se basa en técnicas de ingeniería social y explota la falta de seguridad adicional en las cuentas que no utilizan la autenticación en dos pasos.
“Mientras se comunican con la potencial víctima a través de WhatsApp, los delincuentes abren la aplicación en un dispositivo bajo su control e intentan iniciar sesión utilizando el número de la víctima. WhatsApp envía un código de verificación de seis dígitos a la víctima a través de SMS. Si la víctima comparte ese código, los delincuentes pueden verificar la cuenta en su dispositivo, logrando así el secuestro de la misma”, explica.
Una vez que los criminales tienen control sobre la cuenta, el siguiente paso es dirigirse a los contactos de la víctima, haciéndose pasar por ella. Aprovechando la confianza que existe entre amigos y familiares, los delincuentes solicitan transferencias de dinero bajo pretextos de emergencia.
El especialista dice que esta “es una táctica efectiva porque los contactos de la víctima generalmente no sospechan que la cuenta ha sido robada, lo que los deja vulnerables a caer en la trampa. Muchos han transferido dinero creyendo que están ayudando a un ser querido”.
¿Cómo evitar el secuestro de mi cuenta?
El secuestro de cuentas en redes sociales es un problema de vieja data, por eso, la casa matriz de WhatsApp, Meta, desarrolló una serie de medidas de seguridad destinadas a proteger las cuentas de sus usuarios y reducir el riesgo de secuestros.
No obstante, estas medidas son efectivas solo si se aplican correctamente. Meta recomienda implementar las siguientes acciones:
Activar la verificación en dos pasos: esta es la principal recomendación de la compañía para reforzar la seguridad. La verificación en dos pasos añade una capa adicional de protección, ya que además del código de verificación de seis dígitos enviado por SMS, se solicitará un PIN que solo el propietario de la cuenta conocerá.
Para activarla, se debe seguir la ruta Ajustes > Cuenta > Verificación en dos pasos en la aplicación de WhatsApp. Meta también sugiere añadir una dirección de correo electrónico para recuperar el acceso en caso de olvidar el PIN.
Desactivar la vista previa de mensajes SMS en la pantalla bloqueada: los cibercriminales pueden acceder a los códigos de verificación sin necesidad de desbloquear el teléfono si estos aparecen en la pantalla bloqueada. Es recomendable desactivar la opción que permite la vista previa de los mensajes en el teléfono.
Nunca compartir el código de verificación de WhatsApp: Meta ha reiterado que bajo ninguna circunstancia la aplicación solicitará el código de verificación directamente al usuario. Si se recibe una solicitud de este tipo, lo más probable es que se trate de un intento de estafa.
Mantener el dispositivo siempre seguro: aunque pueda parecer básico, la seguridad física del dispositivo es crucial. Dejar el teléfono desatendido en lugares públicos o al alcance de personas no confiables puede ser un riesgo. “Muchas personas se descuidan y dejan sus teléfonos desbloqueados o a la vista de extraños, lo que permite que estos accedan a información confidencial”, advierte González.
El auge de estos ataques en Colombia
El fenómeno del secuestro de cuentas de WhatsApp no es exclusivo de Colombia, pero el país ha experimentado un aumento considerable en este tipo de cibercrimen.
En la región, México ha sido uno de los países más afectados, con un crecimiento del 650% en el secuestro de cuentas durante los primeros meses de 2024, según datos compartidos por ESET. En Colombia, la situación no es muy distinta, y las autoridades han advertido sobre el incremento de este delito en distintas ciudades.
En Colombia, se ha reportado un método particular en el que los estafadores se hacen pasar por el soporte técnico de WhatsApp.
A través de mensajes directos, persuaden a las víctimas para que compartan el código de verificación de seis dígitos bajo el pretexto de solucionar un problema técnico o de seguridad. Este código es lo único que necesitan los delincuentes para tomar el control de la cuenta y comenzar a extorsionar a los contactos de la víctima.
Cómo recuperar una cuenta secuestrada
Para aquellos que ya han sido víctimas de un secuestro de cuenta, es fundamental actuar rápidamente para intentar recuperar el control de la misma. Meta sugiere los siguientes pasos:
1. Volver a iniciar sesión en la cuenta: al intentar iniciar sesión de nuevo en WhatsApp desde el dispositivo original, se enviará un nuevo código de verificación al número de teléfono del propietario. Si los delincuentes no han activado la verificación en dos pasos, es posible recuperar la cuenta inmediatamente al ingresar este nuevo código.
2. Notificar a los contactos: es importante que los contactos de la víctima sean informados lo antes posible para evitar que caigan en las estafas. Meta también recomienda utilizar otras plataformas de comunicación para hacer esta advertencia.
3. Contactar al soporte técnico de WhatsApp: en casos graves, es aconsejable comunicarse directamente con WhatsApp para reportar el incidente y recibir asistencia en la recuperación de la cuenta.