Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.
Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.
*******
Negocios Seguros
Ha sido la comidilla de la semana. Albert Rivera ha denunciado el robo de su cuenta de Whatsapp ante la Guardia Civil.
Según sus declaraciones, su cuenta había sido «pirateada» por un «hacker».
Dejando de lado el tema puramente conceptual (seguimos considerando hackers a cibercriminales, que precisamente, y en la amplia mayoría de casos, son de todo menos hackers), lo cierto es que como suele ocurrir cuando los medios generalistas hablan de temas técnicos, la confusión (y el despotismo) forman el caldo de cultivo perfecto para que lo que a todas luces es una campaña de phishing acabe por llamarse hackeo.
Y lo es por el simple motivo de que solo hay dos maneras de «hackear» una cuenta de WhatsApp. O mejor dicho, de usurpar la identidad de esa cuenta.
Índice de contenido
Qué podría haber pasado realmente
Para usurpar la identidad de WhatsApp, y puesto que WhatsApp utiliza como único sistema de verificación un SMS enviado al número de teléfono asociado a la cuenta (es decir, un sistema de identidad basado en la posesión), los cibercriminales han tenido que hacerse con el control del número de teléfono de Albert Rivera, al menos para recibir ese código.
Y para ello han tenido que hacer alguna de estas dos cosas:
Una campaña de phishing contra Rivera
Es decir, engañarlo de alguna manera para que el líder de la formación les cediera ese código que previamente había recibido en su smartphone.
El modus operandi, por tanto, pasa por primero conocer el número de teléfono de Rivera (probablemente si realizamos alguna campaña OSINT a poco que rebusquemos lo encontremos, al tratarse de un personaje famoso en un país en el que la seguridad informática parece más magia que otra cosa), y con él pedir a WhatsApp la recuperación de la cuenta intentando acceder a la misma desde otro terminal, por supuesto bajo el control de los criminales.
Al hacerlo, WhatsApp envía automáticamente un SMS al número asociado con el código, que si está en el mismo dispositivo en el que intentamos acceder (lo más habitual cuando cambiamos de terminal) y le hemos dado a WhatsApp permiso para leer nuestros SMS, automáticamente lo leerá y nos logueará.
Por supuesto, en este caso esto no se cumple, así que el bueno de Rivera habrá recibido un SMS con un código que él no ha pedido. Y ahí es donde entra el Phishing.
Basta con que previamente, o a posteriori, los cibercriminales se hayan puesto en contacto con él para hacerse pasar por unos «operarios» de WhatsApp que están probando cualquier cosa, y el líder naranja los haya creído, entregando él mismo instantes después el código a quien sea que fueren los cibercriminales.
Exactamente igual de cómo funcionan actualmente los robos de iPhones, y que ya explicamos precisamente en un artículo exclusivo para mecenas hace unos cuantos meses.
Una campaña de phishing contra la operadora
Este otro camino es mucho más complejo de realizar, pero a cambio dota al cibercriminal de unas libertades totales ya no solo para robarle la cuenta a Rivera, sino para de paso desplumarle las cuentas bancarias, causar el caos en Twitter o Facebook, y cualquier locura que se te ocurra.
La base es exactamente igual que en el anterior escenario, lo único que en este caso no necesitaríamos engañar a Rivera, sino a la operadora que le da el servicio.
Nos haríamos pasar por Rivera, intentando pasar todos los controles de seguridad que vía telefónica la operadora nos va a pedir (básicamente responder correctamente al nombre y apellidos, DNI, dirección postal y/o banco de la cuenta de la víctima, y quizás en algunos casos una contraseña de seguridad que normalmente es numérica y de 6 dígitos) para hacer una migración de la SIM, aludiendo seguramente un robo o un extravío de terminal.
Si en efecto somos capaces de ello (requiere como ves bastante mejor preparación, y si Rivera tuviera una contraseña de seguridad que fuera diferente a las que utiliza habitualmente en sus cuentas prácticamente lo tenemos jodido), la operadora haría la migración de SIM a otro teléfono bajo nuestro control, desde donde podemos, como decía, robarle la cuenta de WhatsApp y realmente todo lo que nos diera la gana.
Y es, de facto, el mismo escenario de SIM swapping que ya expliqué recientemente con otro desfalco a un chaval al que de la noche a la mañana le robaron los 100.000 dólares que tenía en su cuenta.
Qué creo que ha pasado y qué podemos hacer para evitar que nos pase a nosotros
Pues si me preguntas estoy casi seguro, viendo la información que han ido publicando estos días la prensa, que estaríamos ante el primer escenario.
Que se la han colado a Rivera, vaya.
Si fuera un ataque de SIM Swapping Rivera habría alertado a la Guardia Civil por mucho más que el robo del WhatsApp. Eso, suponiendo que los cibercriminales no hayan tenido dos dedos de frente (no suele ocurrir) y el ataque haya sido lo suficientemente bien planificado como para causar mucho más daño a futuro (a fin de cuentas, y como mínimo, habrán podido acceder a listados de chats asociados a números de teléfono de cargos importantes, a sabiendas de que esta gente utiliza el WhatsApp tan pronto para hablar de la operativa del país, como para compartir fotos de gatitos con amigos).
Y cómo no, el ataque no hubiera funcionado simplemente si Rivera hubiera activado el 2FA que por defecto y de forma gratuita ofrece WhatsApp. Una contraseña numérica de 6 dígitos que el cibercriminal tendría que haber metido tras haber engañado al humano o a la operadora (el phishing). Sin ella el ataque no sirve.
Otro ejemplo más de cómo el 2FA es, hoy en día, el único factor de seguridad que podemos considerar con un mínimo de seguridad.
Lo activas una vez desde los ajustes del WhatsApp > Cuenta > Verificación en dos pasos, y te olvidas.
Te pedirá una vez cada mucho tiempo que vuelvas a meter ese PIN. Y mientras tanto puedes estar tranquilo de que robar no van a poder robarte la cuenta. Al menos, mientras hayas puesto una contraseña distinta a la que usas en el resto de servicios…
¿Sabes lo que de verdad me jode? Que pese a que esta vez le ha ocurrido a alguien con tal exposición pública como es Rivera, esto se va a quedar en un simple «le han hackeado la cuenta».
Para el grueso de la sociedad unos «Hackers» han «pirateado» el whatsapp del pobre Rivera. Que el líder de la formación naranja no ha podido hacer nada frente a estos «expertos» y «su maJia».
Que el mundo sigue girando, vaya.
Pese a tener varios engranajes bien jodidos.
Mal que nos pese a algunos.
________
Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».
