EscucharLa mañana del pasado 5 de junio, la diputada de Liberación Nacional, Katherine Moreira Brown, revisó su celular y encontró un mensaje que parecía inocente: su aplicación de WhatsApp estaba “en proceso de actualización”. Minutos después, el sistema le solicitó un código para continuar. Ella lo ingresó sin sospechar que estaba siendo engañada.
En cuestión de segundos, perdió el control de su cuenta de WhatsApp. Desde ese momento, desconocidos comenzaron a enviar mensajes a sus contactos, ofreciendo dólares a cambio de colones, con el objetivo de estafar.
Lo que vivió la legisladora no fue un hecho aislado. Días antes, el diputado Carlos Andrés Robles, del Partido Unidad Social Cristiana (PUSC), había sido víctima de exactamente el mismo mecanismo de estafa. En su caso, también usaron su cuenta para simular una venta de divisas: ofrecía $17.500 a un precio por debajo del valor del mercado.
Ambos acudieron al Organismo de Investigación Judicial (OIJ) para denunciar los hechos. Los casos ahora están en manos de la Sección de Cibercrimen de la Policía Judicial para dar con los sospechosos.
¿Cómo es posible que alguien le quite el control de su WhatsApp?
Según expertos en seguridad informática, estos casos se basan en una fórmula sencilla pero efectiva que es el engaño de los cibercriminales, más descuido de las víctimas.
José Adalid Medrano, abogado especializado en Derecho Informático, explica que muchos usuarios no activan funciones básicas de protección, como la verificación en dos pasos, lo que deja sus cuentas expuestas si entregan el código de seis dígitos que WhatsApp envía por mensaje de texto.
LEA MÁS: A los diputados también les pasa: el error que le costó su cuenta de WhatsApp a una legisladora
“El atacante no necesita romper una clave o instalar un virus sofisticado; lo que hace es convencer a la persona de entregar ese código por medio de ingeniería social”, explicó Medrano.
Algunos métodos comunes incluyen:
- Mensajes falsos indicando que “la app necesita una actualización”.
- Enlaces a sitios web que simulan ser la página oficial de WhatsApp.
- Solicitudes que aparentan venir de un contacto confiable, como: “¿Me podés reenviar el código que te llegó por error?”
- Falsos agentes de soporte técnico que solicitan compartir pantalla o control del celular.
Una vez que el atacante obtiene el código, y si no hay un PIN de seguridad activado, el acceso a la cuenta es inmediato. Desde ahí, se tiene control sobre los mensajes, los contactos, los grupos y hasta las copias de seguridad.
¿Qué tan sofisticados son estos ataques?
Aunque muchas estafas se basan en el engaño simple, también existen técnicas más avanzadas.
Aldo González, director de la carrera de Ciberseguridad de la Universidad Internacional Universae (UIU), señala que además de la ingeniería social, hay otros mecanismos como:
- SIM swap o duplicación de SIM: los delincuentes obtienen una copia de la tarjeta SIM de la víctima (a veces con ayuda de cómplices en operadoras móviles) y logran recibir el código de WhatsApp directamente.
- Sesiones abiertas en WhatsApp Web: si alguien abre una sesión en una computadora compartida y no la cierra, otro usuario podría tener acceso.
- Redes Wi-Fi públicas: pueden generar portales falsos que simulan ser accesos a sitios legítimos y así capturar credenciales.
- Instalación de apps maliciosas: algunos usuarios descargan versiones falsas de WhatsApp que abren la puerta a los atacantes.
LEA MÁS: Diputado del PUSC asegura que le ‘hackearon’ su WhatsApp para estafar
“También hemos detectado fraudes donde se prometen versiones premium de WhatsApp. Eso no existe. Es una trampa para que usted descargue una app manipulada”, advierte González.
¿Cómo se puede proteger?
Tanto Medrano como González coinciden en que los usuarios pueden reducir el riesgo con prácticas muy sencillas, pero poco conocidas o poco aplicadas:
- Active la verificación en dos pasos: se hace desde los ajustes de WhatsApp. Le pedirá crear un PIN de seis dígitos que se debe ingresar cada vez que la cuenta se use en un nuevo dispositivo.
- No comparta el código de verificación: WhatsApp nunca le pedirá que lo comparta con nadie, ni siquiera un contacto cercano.
- Cierre sesiones de WhatsApp Web que no reconozca.
- Evite redes Wi-Fi públicas para usar WhatsApp o ingresar contraseñas.
- No instale versiones no oficiales de la app ni APKs externas.
- Use la autenticación biométrica de su teléfono siempre que sea posible.
- Actualice WhatsApp desde la tienda oficial (App Store o Google Play).
- Desconfíe de cualquier mensaje sospechoso, aunque venga de alguien conocido.
¿Qué hacer si ya fue víctima?
La primera acción es notificar a los contactos para que ignoren cualquier mensaje fraudulento. Luego, debe presentar una denuncia ante el OIJ por suplantación de identidad, respaldada por el artículo 230 del Código Penal.
“Será sancionado con pena de prisión de uno a tres años quien suplante la identidad de una persona física, jurídica o de una marca comercial en cualquiera red social, sitio de Internet, medio electrónico o tecnológico de información.” dice el artículo.
Esto no solo activa la investigación, sino que también sirve como respaldo para advertir a terceros que su cuenta fue robada y que cualquier uso posterior es ajeno a su voluntad.
