kaspersky ha emitido una alerta sobre una nueva y astuta campaña de phishing que está utilizando supuestos concursos de votación para robar cuentas de Whatsapp. El método es altamente adaptable, permitiendo a los delincuentes suplantar cualquier tipo de votación popular, como concursos de jóvenes atletas, para engañar a las víctimas.
Cómo funciona el secuestro de la cuenta
El anzuelo del concurso: el usuario recibe un enlace o es dirigido a una página web falsa de votación. Esta página se diseña para parecer muy real, con fotos de los supuestos concursantes (por ejemplo, atletas), botones de «votar» y contadores de votos en tiempo real. Se promete que cualquiera puede participar y que habrá premios de «patrocinadores».
La falsa «autorización»: al intentar votar o al pulsar el botón de «autorizar», la página dirige al usuario a una ventana que pide su número de teléfono, argumentando que es necesario para una «autorización rápida vía whatsapp».
El robo del código: los atacantes introducen el número de teléfono de la víctima en la función de inicio de sesión de whatsapp web. Esto hace que el sistema real de whatsapp envíe un código de verificación de 6 dígitos al teléfono de la víctima.
La trampa final: el sitio web fraudulento de la votación muestra este código y le pide a la víctima que lo ingrese en el sitio. Al hacerlo, el usuario está, en realidad, validando la sesión de whatsapp web que los atacantes iniciaron. Una vez con acceso, los delincuentes pueden espiar conversaciones, enviar mensajes y, finalmente, tomar control total de la cuenta.
Leandro cuozzo, analista de seguridad en kaspersky, subraya que los atacantes están explotando la popularidad de los concursos en línea. «combinan la ingeniería social con interfaces falsas muy convincentes… la conciencia y la vigilancia son fundamentales para mantenerse protegido», asegura.
Recomendaciones clave de seguridad
Para evitar el secuestro de tu cuenta de Whatsapp, Kaspersky aconseja tomar estas medidas:
Habilite la verificación en dos pasos: Active esta función de seguridad dentro de la configuración de Whatsapp. Esto añade un pin personal que será requerido para cualquier intento de acceder a su cuenta, bloqueando el ataque incluso si los delincuentes tienen el código de 6 dígitos.
Nunca comparta código de verificación: Su código de un solo uso es la llave de su cuenta. Whatsapp nunca se lo pedirá. No lo ingrese en ninguna página web, mensaje o con otra persona, sin importar cuán confiable parezca la fuente.
Verifique la URL: desconfíe de cualquier enlace no solicitado. Revise siempre la legitimidad de la dirección web antes de introducir cualquier dato personal.
Use software de seguridad: instale una solución de seguridad confiable en sus dispositivos que pueda detectar y bloquear enlaces y sitios web maliciosos.
Fuente: Kaspersky
