Phishing a través de WhatsApp con la excusa de una votación online

Descubrimos una nueva ola de ataques a usuarios de WhatsApp en la que los atacantes roban las cuentas de las víctimas utilizando páginas de votación falsas e ingeniería social en las redes sociales.

Phishing a través de WhatsApp bajo el pretexto de una votación en línea

“¡Hola! ¡Mi sobrina está en un concurso! ¿Podrías votar por ella? Es muy importante para ella”. Los mensajes como este son habituales en WhatsApp, tanto en grupos como en chats privados. Muchas personas con pocos conocimientos de seguridad, sin pensarlo dos veces, hacen clic para ayudar a alguien que en realidad no conocen y terminan perdiendo su cuenta. En una investigación reciente encontramos una nueva campaña de phishing que ya ha afectado a usuarios de WhatsApp en todo el mundo.

Hoy explicaremos cómo funciona el ataque, las posibles consecuencias para las víctimas y cómo evitar convertirte en una de ellas.

Cómo funciona el ataque

Los ciberdelincuentes se preparan para el ataque creando páginas de phishing convincentes que supuestamente albergan encuestas de votación legítimas. En el siguiente ejemplo, la encuesta es para gimnastas jóvenes, aunque el escenario se puede cambiar fácilmente. Las páginas parecen auténticas: incluyen fotos de participantes reales, botones para Votar y contadores que muestran cuántas personas han votado. Es probable que al usar inteligencia artificial y kits de phishing, los atacantes produzcan fácilmente versiones en varios idiomas del mismo sitio: encontramos la misma encuesta en inglés, español, alemán, turco, danés, búlgaro y otros idiomas.

Etapa uno: el gancho. En las redes sociales, en los servicios de mensajería instantánea o por correo electrónico, los estafadores usan la ingeniería social para dirigirte al sitio de votación falso. El pretexto puede ser muy creíble y el mensaje puede provenir de un amigo o familiar cuya cuenta ya se ha visto vulnerada. La solicitud generalmente es personalizada: en el primer mensaje, el estafador que se hace pasar por su conocido te pide que votes por un determinado concursante porque es una persona de la que está a cargo, una amistad o un familiar.

Primero, te atraen a una página de votación falsa

Primero, te atraen a una página de votación falsa

Etapa dos: la trampa. Cuando haces clic en Votar, te lleva a una página que te solicita que te autentiques rápidamente a través de WhatsApp. Todo lo que necesitas hacer es introducir el número de teléfono vinculado a tu servicio de mensajería instantánea.

A continuación, te piden el número de teléfono asociado a tu WhatsApp. Los estafadores incluso fingen preocuparse por tus datos y "tu tiempo valioso"

A continuación, te piden el número de teléfono asociado a tu WhatsApp. Los estafadores incluso fingen preocuparse por tus datos y “tu valioso tiempo”

Etapa tres: el ataque. Los atacantes aprovechan la función de inicio de sesión con código de un solo uso en WhatsApp Web. Ellos introducen el número de teléfono que proporcionaste y WhatsApp genera un código de verificación de un solo uso de ocho caracteres. Los atacantes muestran inmediatamente ese código en el sitio falso con instrucciones: abre WhatsApp, ve a “Dispositivos conectados” e introduce el código. Para mayor comodidad, hay incluso un botón para copiar el código al portapapeles.

Para lograr una "autorización rápida y sencilla" (o sea, una apropiación de la cuenta de WhatsApp), solo debes introducir el código que se muestra en el sitio

Para lograr una “autorización rápida y sencilla” (o sea, una apropiación de la cuenta de WhatsApp), solo debes introducir el código que se muestra en el sitio.

Al mismo tiempo, WhatsApp en tu teléfono muestra un mensaje para vincular un nuevo dispositivo introduciendo el código. Al hacer clic ahí, se abre una advertencia de que alguien está tratando de conectarse a su cuenta y un campo para introducir el código.

Lamentablemente, en su deseo incontrolable de ayudar a un completo extraño en el concurso, muchos usuarios no leen con atención la advertencia de WhatsApp. “¿Alguien quiere vincularse a mi cuenta? Eso es para poder votar, ¿qué podría salir mal?” Cuando la víctima descuidada escribe el código en la aplicación de su teléfono, se activa la sesión web iniciada por los atacantes.

WhatsApp te advierte que alguien está tratando de vincularse a tu cuenta, pero muchos usuarios no leen la advertencia e introducen el código de verificación de todos modos

WhatsApp te advierte que alguien está tratando de vincularse a tu cuenta, pero muchos usuarios no leen la advertencia e introducen el código de verificación de todos modos

Si introduces ese código, los atacantes obtienen acceso completo a tu WhatsApp, como si hubieras iniciado sesión tú mismo, por ejemplo, desde un ordenador junto a tu teléfono. Los atacantes pueden ver todos tus contactos, leer conversaciones, enviar y eliminar mensajes por ti e incluso tomar el control total de la cuenta. Eso da lugar a más posibilidades de fraude, como extorsionar a tus contactos usando tu identidad o usar tu cuenta para difundir el mismo enlace de phishing que te hizo caer en la trampa.

Qué hacer si crees que has sido víctima del hackeo

Si sospechas que has caído en la estafa y les has dado acceso a los atacantes a tu cuenta de WhatsApp, lo primero que debes hacer es abrir la configuración de WhatsApp en tu teléfono inteligente y acceder a Dispositivos vinculados. Allí verás todos los dispositivos conectados actualmente a tu cuenta. Si ves dispositivos o navegadores desconocidos, haz clic en ellos para desconectarlos de tu cuenta. Haz esto rápidamente, antes de que los delincuentes puedan apoderarse por completo de tu cuenta.

Hemos preparado una guía detallada para esos casos: en ella se explican ocho indicios de que tu cuenta de WhatsApp ha podido ser hackeada y se proporcionan instrucciones paso a paso sobre cómo recuperar el acceso incluso en situaciones difíciles. También tenemos una guía similar para los usuarios de Telegram.

Cómo impedir que roben tu cuenta de WhatsApp

  • Nunca participes en concursos o votaciones sospechosos, especialmente si requieren autenticación del servicio de mensajería instantánea. Las encuestas legítimas no solicitan acceso a tus cuentas personales.
  • No hagas clic en enlaces sospechosos en los mensajes, incluso si provienen de amigos o parientes. Es posible que sus cuentas hayan sido pirateadas.
  • Nunca introduzcas datos personales en sitios web desconocidos, especialmente aquellos a los que se llega a través de mensajes o enlaces de redes sociales. Siempre revisa la URL con detenimiento.
  • No ignores las advertencias del navegador sobre sitios y usos no seguros, e instala Kaspersky Premium en todos tus dispositivos (tanto teléfonos inteligentes como ordenadores). Nuestra protección analiza enlaces y páginas web, bloquea el phishing y los recursos maliciosos, y funciona en todos los navegadores móviles y de escritorio populares.
  • Activa la verificación en dos pasos en la configuración de WhatsApp. Esto hace que sea necesario un código PIN de seis dígitos para iniciar sesión en un nuevo dispositivo, lo que dificulta el trabajo de los atacantes incluso si tu número fue vulnerado. Sin embargo, esto no protege contra el ataque descrito anteriormente: el código de un solo uso que se te muestra ya es, según WhatsApp, el “segundo paso”. Es por eso por lo que no se solicita el PIN durante este método de inicio de sesión.
  • Utiliza llaves de acceso en lugar de contraseñas tradicionales siempre que sea posible. WhatsApp ya admite llaves de acceso para la verificación de la cuenta.
  • Protege los dispositivos móviles del phishing: estos son los principales objetivos de los ataques a servicios de mensajería instantánea. La tecnología de protección de tres niveles detecta enlaces maliciosos y bloquea los sitios web peligrosos. En el primer nivel, la Protección de notificaciones detecta y elimina automáticamente los enlaces maliciosos de las notificaciones de la aplicación, dejando solo texto seguro. A continuación, la Mensajería segura bloquea enlaces dañinos en SMS y servicios de mensajería instantánea (WhatsApp, Viber, Telegram) antes de que el usuario haga clic en ellos. Por último, Navegación segura bloquea las URL maliciosas en los navegadores móviles más populares.
  • Configura la privacidad y la seguridad en tu teléfono inteligente y ordenador con Privacy Checker el servicio gratuito de Kaspersky que proporciona guías detalladas para la configuración de privacidad en muchas aplicaciones, servicios y sistemas operativos populares.
  • Configura las cuentas de WhatsApp y Telegram para obtener la máxima protección contra el pirateo, usando nuestra guía paso a paso.
  • Comprueba periódicamente la lista de dispositivos conectados en la configuración del servicio de mensajería. Tanto WhatsApp como Telegram tienen secciones que muestran todas las sesiones activas, y puedes desconectar las que sean sospechosas. En Telegram, incluso puedes activar la finalización automática de las sesiones inactivas.
  • Utiliza solo las versiones oficiales de los servicios de mensajería instantánea, descargadas de tiendas de aplicaciones oficiales (como Google Play, App Store o Galaxy Store). Las versiones modificadas pueden contener malware.
  • Ten mucho cuidado con las versiones de escritorio de estos servicios, especialmente en los ordenadores del trabajo.

¿De qué otras maneras atacan los servicios de mensajería instantánea y cómo contrarrestar esos ataques?

Consejos
  • Para el resto de países