Carlos Daniel compró un chip de una compañía telefónica de Costa Rica mientras residía en San José, la capital de ese país centroamericano, adonde llegó a trabajar para reunir dinero para un proyecto de vida: contraer nupcias en Nicaragua.
Como es natural, abrió sus cuentas de correo personal y su cuenta de WhatsApp vinculándolas al número que adquirió en ese país. Cuando llegó el momento de regresar a Nicaragua, conservó su chip y su cuenta de WhatsApp asociada a ese mismo número telefónico.
Todo iba bien hasta ese momento.
Señal de alerta
Seis meses después, mientras chateaba en un grupo de WhatsApp de amigos, exactamente después de haber enviado una nota de voz, su cuenta de WhatsApp se cerró y su dispositivo mostró un cuadro de diálogo que decía: “Se ha abierto su cuenta en otro dispositivo”.
Posteriormente perdió el control de todos sus chats y la cuenta se cerró.
Una persona desconocida abrió la cuenta y pudo acceder a la “copia de restauración” o “copia de respaldo” que permite a los usuarios recuperar las conversaciones y archivos de dispositivos utilizados anteriormente.
Le puede interesar de Literal: WhatsApp trabaja en nueva función de transcripción de mensajes
Chantaje económico
El sujeto desconocido ingresó a los mismos grupos de WhatsApp y a las conversaciones. Luego comenzó a escribirle a la lista de contactos de Carlos Daniel y encontró el número de sus amigos y su esposa, a quienes pedía dinero prestado.
Carlos Daniel consultó a la compañía telefónica, pero esta respondió que debido a que la línea estaba en “inactividad” por no adquirir planes móviles, se reasignó a un cliente.
Carlos Daniel le escribió al sujeto desconocido a través de la cuenta de su esposa y este le aseguró que eliminaría el chip si a cambio le hacía un depósito bancario.
El nicaragüense se negó al saber que podía suceder nuevamente la misma situación y decidió dejar perder el número telefónico.
WhatsApp vulnerable a secuestro de cuentas
Aunque Carlos Daniel no es un personaje involucrado en temas políticos o sensibles, su situación no es lejana a lo que han vivido otros usuarios de WhatsApp.
En su sitio web oficial, WhatsApp, propiedad de Facebook, asegura que protege la seguridad y confidencialidad de los mensajes de los usuarios con el cifrado de extremo a extremo.
“El cifrado de extremo a extremo garantiza que solo tú y la persona con quien te comuniques puedan leer o escuchar lo que se envía, y que nadie más, ni siquiera WhatsApp, pueda hacerlo. Esto ocurre debido a que, gracias al cifrado de extremo a extremo, los mensajes se aseguran con un candado y solo tú y el destinatario tienen la llave especial que se necesita para desbloquearlos y leerlos”, señala WhatsApp en su sitio web.
WhatsApp
Clones de SIM Card
No obstante, WhatsApp no es muy seguro cuando existen dos SIM Card (Chips) con el mismo número de teléfono. Además, existen formas de obtener la ubicación de contactos, abrir cuenta en varios dispositivos y leer conversaciones.
Según un reciente informe del Centro Criptológico Nacional de España (CCN-CERT) la carencia más importante de la plataforma es el proceso de registro, ya que propicia que un intruso pueda secuestrar la cuenta de otra persona en WhatsApp, leer e incluso enviar mensajes en su nombre.
El informe detalla que los atacantes o espías se aprovechan de un fallo en el protocolo de telecomunicaciones SS7 (Signalling System No.7) que define los elementos telefónicos para intercambiar información sobre una red digital para efectuar el enrutamiento, establecimiento y control de llamadas.
Lea más de Literal: Cuida tus datos y tus fuentes: decálogo de seguridad digital para periodistas
Alerta de intervención
De esta forma, los atacantes pueden interceptar llamadas telefónicas, recibir o enviar mensajes en nombre de la víctima y conocer la ubicación exacta.
“Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma se consigue recibir un código de verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima”, señala el informe.
El informe también señala que el borrado de conversaciones en WhatsApp no es seguro, especialmente cuando la víctima cuenta con copias de restauración.
“El proceso de borrado de una conversación, mensaje o grupo es sencillo en el teléfono, pero no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario”, detallan.
Un periodista intervenido
Literal Periodismo Ciudadano conoció el caso de un periodista independiente que fue detenido en una ocasión por la Policía Nacional, mientras cubría las citatorias de la Fiscalía a comunicadores y directores de medios señalados de “lavado de dinero”.
En esa ocasión el teléfono le fue retenido por unas horas, aunque el periodista ya había borrado datos de sus comunicaciones.
Sin embargo luego empezó a notar cosas extrañas cuando se comunicaba: un eco audible cuando hablaba, una batería que se descargaba inusualmente rápido pese a no tener un teléfono viejo y ruidos de estática cuando le ingresaban las llamadas.
Sin embargo, lo que más le alertó fue que algunos mensajes de WhatsApp que le llegaban aparecían como “leídos” pese a que él no los había abierto.
Un equipo de expertos de seguridad digital revisó su caso y le advirtió que el chip de su móvil podía haber sido clonado y terceras personas podían estar rastreando sus comunicaciones desde su propio dispositivo. Tuvo que cambiar de simcard y de teléfono.
Lea también de Literal: 10 sitios en línea para actualizarte sobre seguridad digital
¿Es seguro abrir cuentas de WhatsApp con números de otro país?
Debido al contexto nicaragüense, algunos usuarios prefieren obtener números telefónicos de otro país porque, a criterio de un especialista digital y defensor del derecho a la privacidad, la legislación nacional permite el rastreo y espionaje de datos de los usuarios de servicios de Internet.
“Por ejemplo en Nicaragua la ley de ciberdelitos que promueve el almacenamiento de toda comunicación por un año entero. En Honduras está la ley de escuchas que se ha venido reformando con los años es similar a la de Nicaragua en cuanto a la violación de los derechos fundamentales del individuo, como es el derecho a la privacidad”, expresó el especialista.
Al respecto, considera que cualquier compañía telefónica es capaz de intervenir conversaciones a solicitud de las autoridades y si no se cuenta con canales seguros y cifrados, es posible que terceros conozcan nuestras comunicaciones personales.
“El usuario o usuaria final es quien debe garantizar su privacidad a través de las herramientas más seguras, recomendadas y confiables. La compañía, cualquiera que sea, va a velar por sus intereses como empresa, no por los derechos fundamentales del ciudadano”, añadió el especialista.
Especialista en Seguridad Digital
Le puede interesar de Literal: Las 10 redes sociales que han marcado a las comunidades digitales de Nicaragua
¿Por qué ingresaron al WhatsApp de Carlos Daniel?
A criterio de otro especialista en seguridad digital consultado por Literal-Periodismo Ciudadano, esto se debe a que los usuarios no cuentan con verificación de dos pasos y que la compañía reasignó (clonó) el número telefónico a alguien con acceso a Internet.
“Un consejo para quienes utilicen números extranjeros: traten de mantener el simcard activo con el número asociado, es decir hacer recargas”, expuso.
¿Qué hacer para evitar el robo de cuentas?
El CCN-CERT en su reciente informe, aconseja tomar en cuenta las siguientes recomendaciones:
Mantener el teléfono bloqueado. De esta forma se reducirá el riesgo si el teléfono cae en las manos equivocadas.
Eliminar las pre-visualizaciones de los mensajes y extremar las medidas cuando no se disponga del teléfono al alcance, ya que con una simple llamada de teléfono se podría comprometer la seguridad de alguna sesión o aplicación que se esté utilizando.
Tener cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten en nuestro teléfono, especialmente cuando se trata de terminales Android.
Conocer los riesgos que implica realizar “jailbreaking” o” rooting” del terminal, que a pesar de ser tentador para acceder gratuitamente a aplicaciones o servicios de pago, es altamente riesgoso.
Sugerencia de Literal: Conexiones VPN: una capa extra de seguridad en la virtualidad
Además, se debe tomar en cuenta lo siguiente:
- Reconocer situaciones inusuales en tu cuenta (que se marque un chat como leído si no lo has abierto, pérdida del historial de conversaciones)
- Eliminar el historial de chats si lo consideras oportuno.
- Configurar el doble factor de autenticación.
- Si a pesar de eso sigue siendo extraño su comportamiento, considera cambiar de dispositivo y número telefónico, puesto que tu dispositivo (número IMEI que es único) y el simcard asociado, ya deben haber sido identificados y vinculados a otro dispositivos.
- Considerar la utilización de Signal, como red de mensajería que proporciona seguridad.
¿Qué hacer si te han robado tu cuenta de WhatsApp?
El especialista considera que se debe avisar a los contactos que se ha perdido el control de la cuenta, para luego intentar recuperarla y poder configurar la verificación en dos pasos.
“La única medida que te garantiza WhatsApp es la verificación en dos pasos. No existe nada más que te permita mejorar la seguridad. No es una red social tan segura ni tan confiable, sigue los mismos preceptos que Facebook y toda información que circula en ella es propiedad de la empresa”, señaló el especialista.
