Sobre el delito de Spoofing
Se trata de una nueva forma de suplantación de identidad
Desde hace unos meses tenemos noticia de una nueva forma de suplantación de identidad: escribirte por whatsapp desde el número de tus propios conocidos y familiares para que no sospeches. Es un ataque en cadena para hacerse con tu cuenta de WhatsApp y proseguir el ataque escribiendo a tus contactos, y así sucesivamente.
Es un método muy efectivo porque una vez que se consigue suplantar a alguien es mucho más fácil seguir la cadena y hacerse con las cuentas de sus contactos.
En primer lugar, uno de tus contactos de confianza te pide un código de seis dígitos. Cuando decimos de confianza es que es de confianza total: hay casos en que la madre aparece solicitando el tal código a su hijo.
Y ¿qué es este código que te piden? Al objeto de de proteger tu cuenta, WhatsApp envía una notificación push cuando alguien intenta registrar una cuenta de WhatsApp con tu número de teléfono. Para mantener la cuenta a salvo, es importante que no compartir tal código de verificación con nadie.
Si recibes esta notificación sin haberla pedido, significa que alguien ingresó tu número de teléfono y solicitó el código de registro. Si alguien está intentando apoderarse de tu cuenta, para lograrlo, necesitará el código de verificación que se envió por mensaje SMS a tu teléfono. Sin ese código, ningún usuario que intente verificar tu número podrá completar el proceso de verificación y usar el número en WhatsApp.
¿Cuál es la treta de estos delincuentes para convencerte de darte ese código de verificación? Hacerse pasar por uno de tus contactos de confianza.
Existen ya muchos testimonios en esta misma línea. La misma historia repetida una y otra vez que se repite, por lo visto, desde agosto de 2020. Una vez que acceden a tu cuenta, les escriben el mismo mensaje a todos tus contactos.
Pero ¿qué es lo que pretenden realmente con esta suplantación y este robo de cuenta?, Sergio Carrasco, abogado experto en derecho al olvido y ciberseguridad entre otras especialidades nos explica que se trata de "ejemplos de phishing para obtener acceso a la cuenta de WhatsApp, y que acaba en spoofing".
Su objetivo puede ser variado. Por un lado, obtener una cuenta de confianza desde la que poder hacer otros ataques, como el fraude del CEO aunque sea a niveles más cotidianos (en este delito, la estructura de estafa es sencilla: suplantar la identidad del CEO para instar a un empleado con acceso a las cuentas bancarias a que le realice con urgencia y discreción transferencias de altas sumas de dinero). Por otro, en una línea similar, para pedir ayuda económica a contactos cercanos alegando una situación extraordinaria, dependiendo del perfil de la cuenta obtenida.
"Estas actuaciones suelen estar fuertemente automatizadas (suelen ser bots que se comunican con la API de WhatsApp para ir solicitando la recuperación, para no ir número por número de manera manual), razón por la cual en ocasiones llega a perfiles de los que parece que no se va a poder obtener nada. Diferente sería si se pudieran realizar pagos directamente desde WhatsApp, que actualmente no es el caso", explica Sergio. Habrá que estar todavía más atentos para cuando los pagos vía WhatsApp sí estén con nosotros.
Fte: Xataca