Nueva estafa en WhatsApp: invitaciones a eventos VIP

WhatsApp una vez más es blanco de ataques y esta vez es para robar los accesos a las cuentas de los usuarios por medio de una invitación a un evento VIP. Esta vez no es un mensaje, es una llamada lo que se realiza.

Un supuesto organizador de eventos ofrece entradas gratis a una función o un concierto de un artista, según dio a conocer la firma de seguridad Kaspersky. Esta estafa pretende acceder a las cuentas de WhatsApp para apodersarse de las mismas, estando circulando en los últimos meses.

Después de llamar a la persona, el estafador avisa que mandará un sms a la persona y le pide que le de los seis números recibidos para confirmar los boletos. Sin embargo, lo que se da es el código de verificación de la cuenta de WhatsApp. Al compartir ese código, el criminal tomará control de la misma y así accederá  a toda la información, contactos, imágenes y conversaciones disponibles.

Con estos datos el estafador suplanta la identidad de la víctima, pide dinero a sus contactos o la chantajea y lo peor es que habilitan la autenticación de doble factor en WhatsApp en las cuentas robadas que no la tenían configurada, lo que impide que el verdadero propietario recupere su cuenta. Así que si no la tienes habilitada, es la única forma de evitar que te roben el acceso.

La empresa también ha identificado varios casos en los que las cuentas robadas han sido utilizadas para robar las cuentas de WhatsApp de los contactos de sus víctimas. Sin embargo, esta práctica aún no es tan común como la invitación a un concierto o evento VIP, ya que requiere que el autor cree una ingeniería social personalizada basada en el historial de mensajes con las posibles víctimas. Sin embargo, la dinámica es la misma.

Para evitar ser víctima de este ataque, Kaspersky ofrece los siguientes consejos para protegerse:

Cuando sea posible, evita el uso de la autenticación de doble factor por SMS optando por métodos más seguros, como códigos de un solo uso (OTP, por sus siglas en inglés) vía la app (como Google Authenticator) o el uso de un token físico.

Con información de Kaspersky

Salir de la versión móvil