El Instituto Nacional de Ciberseguridad (INCIBE) de España ha alertado de una nueva campaña fraudulenta en WhatsApp en la que los ciberdelincuentes se hacen pasar por el servicio técnico de la plataforma y recopilan información personal para apropiarse de sus cuentas y desvincular los números de teléfono de sus perfiles.

Hace unos días una mujer se puso en contacto con la Línea de Ayuda de Ciberseguridad de INCIBE (017) para denunciar que había recibido una llamada de un teléfono con prefijo estadounidense a través de la aplicación.

Cómo funciona la estafa

Al descolgar, se presentó una mujer identificándose como soporte técnico de WhatsApp para advertirle de que habían detectado que otro dispositivo diferente al suyo había accedido a su perfil. Con ello, le solicitó el nombre de la marca de su terminal, con el pretexto de identificar el smartphone legítimo.

Asimismo, la presunta operadora del servicio técnico de la plataforma de comunicación de Meta pidió a la víctima el código de seis dígitos recibido en su móvil, también con la excusa de aclarar que estaba contactando con la propietaria de la cuenta.

Ésta, creyendo que estaba hablando con el soporte de la plataforma, facilitó los datos solicitados, de forma que también indicó que no tenía activado el sistema de autenticación de doble factor al ser preguntada por ello.

Tras esta respuesta, el presunto soporte técnico colgó la llamada y, a partir de entonces, la usuaria dejó de tener acceso a su cuenta de WhatsApp. A pesar de haberla reinstalado e introducido de nuevo el código de seis dígitos que le llegó por SMS, recibió una advertencia de que su número ya no estaba vinculado a su perfil y que introdujera otro nuevo.

Cómo actuar ante este engaño

Desde INCIBE han explicado que si se es víctima de este engaño, hay que avisar a todos los contactos de que estén prevenidos ante posibles mensajes fraudulentos que puedan recibir desde el número de teléfono robado.

También conviene ponerse en contacto WhatsApp a través del correo electrónico que la plataforma ofrece (support@whatsapp.com) para explicarles lo sucedido. Y si no se consigue recuperar la cuenta por este medio, conviene avisar al delegado de protección de datos de la aplicación.

El Instituto Nacional de Ciberseguridad es consciente de que es posible no obtener respuesta por esta parte, por lo que, si con los pasos anteriores no se tienen noticias de los medios consultados, se debe acudir a la Agencia Española de Protección de Datos (AEPD) para denunciar la falta de atención al derecho.

Asimismo, los afectados deben reportar el número de teléfono que les contactó para que la propia plataforma actúe y tome medidas, recopilando todas las evidencias posibles para demostrar haber sido víctima de un fraude.

Finalmente, y de cara al futuro, lo ideal es habilitar la verificación en dos pasos (2FA, por sus siglas en inglés), como medida preventiva para evitar que vuelvan a darse estafas de estas características.

No compartir nunca

WhatsApp actualizó este verano su campaña de concienciación para sobre estafas digitales para transmitir la importancia de no compartir con nadie el código de seis dígitos, que suele ser el recurso que utilizan muchos cibercriminales para tomar el control de una cuenta.

Este código es importante cuando se hace un nuevo registro en WhatsApp o se cambia el móvil. La plataforma se lo envía al usuario a su número de teléfono mediante un SMS o una llamada, y al introducirlo en la app da acceso a su perfil.

Por ello es un recurso habitual que los cibercriminales intentan obtener de sus víctimas, porque si acceden a este número, acceden a su cuenta en el servicio de mensajería, pudiendo suplantarles la identidad.