El líder del partido político Ciudadanos, Albert Rivera, ha sufrido un ataque en su teléfono móvil mediante un mensaje trampa. Esto ha ocurrido en plena campaña política ante unas nuevas elecciones en España. Las cuartas elecciones nacionales en solo cuatro años, dos en los últimos siete meses. Todo eso está generando un gran problema al estar todo bloqueado en el país y porque cada una de esas elecciones cuestan casi un centenar y medio de millones de euros… que bien podían invertirse en otros menesteres más necesarios como educación y sanidad.

El ataque al dispositivo móvil de Albert Rivera iba orientado a secuestrar su cuenta de Whatsapp para poder hacerse pasar por él a través de esta app de mensajería instantánea y a saber lo que podía haber ocurrido de no haberse dado cuenta y no haber denunciado. Pero Albert se dio cuenta y lo ha denunciado a la Guardia Civil. La denuncia ocurrió el pasado viernes antes las autoridades, y ahora la Unidad de Delitos Telemáticos de la UCO está investigando el caso.

No ha trascendido demasiada información, pero por ahora solo han podido acceder a cierta información personal del político español, pero estos supuestos cibercriminales podrían haberse hecho pasar por él y mandar mensajes a otros políticos a los que Rivera tenía entre sus contactos. Pero en vez de elucubrar lo que podría o no podría haber pasado, que os lo dejo a vosotros, vamos a ver la información que tenemos del caso…

¡Dejemos a los hackers en paz!

Esto no es acto de hackers, dejemos ya a los hackers en paz. Un hacker no es un ciberdelincuente que se dedica a estas paridas. Los hackers son aquellos que tienen altos conocimientos muy superiores sobre algún campo, especialmente programación y seguridad, entre otros. Aunque bien es cierto que los especialistas en ciberseguridad han secuestrado el término hacker y lo están monopolizando, que sepas que existen hackers más allá de la seguridad.

Son probablemente muchos los hackers que estén trabajando a diario para que este tipo de cosas no ocurran, para garantizar los sistemas telemáticos en las elecciones, o para evitar ataques cibernéticos a empresas y organizaciones. Son los hackers los encargados de crear sistemas informáticos mejores y de hacerlos más seguros. Y a pesar de ello, los medios de comunicación, la industria cinematográfica encabezada por Hollywood, y la literatura los criminalizan usando el término hacker de forma inadecuada.

Desgraciadamente estos medios son tan poderosos que han conseguido que la palabra se trasnforme en sinónimo de pirata informático o de ciberdelincuente. Y para la mayoría de mortales un hacker es un criminal que destripa la red o los sistemas computacionales… Incluso la RAE lo ha dado como válido, aunque recientemente han agregado un segundo significado alejado de esto, pero mantienen el primero y aún no han dado del todo con el verdadero significado.

Dicho esto, que me parece de justicia, pasamos ahora a ver el caso de lo que ha ocurrido y cómo podríamos defendernos…

Cómo han conseguido secuestrar el Whatsapp

Primero decir que Whatsapp es una app de mensajería instantánea propiedad de Facebook. Aunque han implementado una serie de medidas de seguridad, no es el primer ni el peor ataque que tienen, ni tampoco es Albert Rivera el único político que las ha sufrido. No hace mucho, un grupo de Israel estuvo implicado en otro ataque masivo a esta app.

Como sabéis, Whatsapp está pensado para solo funcionar en dispositivos móviles asociados a una tarjetas SIM y un número telefónico necesario. Esto la diferencia de otras apps que no necesitan de un número telefónico para funcionar. Aunque es cierto que Whatsapp tiene clientes para instalar en otros dispositivos como los ordenadores, su uso a través de la web, etc. (cualquier equipo con conexión a Internet y un navegador o cliente compatible). Pero siempre necesita del móvil para su acceso.

Esto permite que puedas instalar Whatsapp en otras plataformas, pero que para el acceso y para mantener la cuenta, siempre necesites introducir el número de teléfono al que te envían los mensajes por SMS de verificación. Estos mensajes de texto tienen un código numérico requerido para iniciar la sesión de Whatsapp con todo el contenido de contactos, chats archivados, fotos, etc., almacenados en la copia de seguridad.

Si alguien intenta acceder desde otro dispositivo a tu Whatsapp, porque conoce tu teléfono móvil, lo que puede hacer es instalar la app o usarla desde la web, poner tu teléfono, pero no podría acceder. Ya que le faltaría dicho código de verificación que te mandan a tu móvil. Con esto quiero decir dos cosas: por un lado que si consiguiera ese código ya lo tendría todo para acceder a tu perfil; y que si has recibido este tipo de mensajes aunque no hayas estado intentando acceder a tu cuenta de Whatsapp, puede significar que alguien esté intentando acceder a tu cuenta.

Alguien con malas intenciones, una vez sabe tu teléfono podría usar prácticas de phising para intentar obtener ese código que le falta. Lo que podría hacer, por poner un ejemplo sencillo, es enviarte un mensaje a través de la propia app con una cuenta con una foto de perfil con el logo de Whatsapp, y como si fuese algún miembro del equipo técnico de la compañía para pedirte que le digas el código que te ha llegado por SMS. Si picas, le habrás dado acceso…

También podrían enviarte un SMS tras el SMS con el código, pidiéndote que introduzcas el código que te ha llegado y lo reenvíes al mismo número que te ha enviado el segundo SMS. En este caso, nuevamente tendrían lo que necesitan para secuestrarte la cuenta. Por tanto, lo importante para prevenir este tipo de incidentes es que sepas que el código SIEMPRE lo tienes que conservar tú. Nadie que supuestamente sea de Whatsapp te lo pedirá en ningún momento, ni tendrás que enviarlo a ningún lugar. ¡SOLO INTRODUCIRLO EN LA PROPIA APP SI HAS INICIADO SESIÓN!

El procedimiento

Una vez comprendemos cómo funciona el sistema de acceso de Whatsapp, podrás entender mejor lo ocurrido con el caso de Albert Rivera. Lo que le han hecho, y en lo que ha picado el de Cs es aprovechar otro mecanismo diferente a los que yo he descrito anteriormente, pero similar en cuanto a planteamiento:

1. Una persona o grupo de personas malintencionadas denunciaron a Whatsapp que el número de móvil de Albert Rivera era usurpado, es decir, como si el de Cs les hubieran robado el móvil.
2. Whatsapp envió a Albert Rivera un SMS con un código de verificación para que validara su condición de propietario.
3. Estas personas desconocidas se hicieron pasar por personal de Whatsapp y le pidieron que le enviara el código de verificación por SMS. Y es el error que cometió Rivera…
4. Ahora, una vez tienen su número de teléfono y el código, ya pueden iniciar sesión y suplantar la identidad de Albert Rivera.

¿Cuál es la diferencia con lo descrito anteriormente? Pues el movimiento táctico de denunciar a Whatsapp la suplantación. ¿Por qué? Muy sencillo, el servicio permite estar usando la app desde diferentes dispositivos a la vez. Si estás usando varios clientes a la vez no habrá problema, de hecho muchos lo hacen para escribir más cómodamente desde su PC en vez de teclear desde el móvil. Pero en este caso todo lo que se haga desde la sesión del cliente del PC se podrá ver desde el móvil. En tal caso, Albert Podría haber detectado actividad sospechosa y actuar. En cambio, si le quitan a él el acceso y solo se lo dan al otro cliente, es más favorable para los ciberdelincuentes…