Robo de cuentas de WhatsApp utilizando una nueva estrategia de ingeniería social
¿Qué ha ocurrido?
Se puso en contacto con nosotros a través del teléfono gratuito confidencial 017 de la Línea de Ayuda de Ciberseguridad, un hombre de mediana edad para solicitarnos ayuda por el robo de las cuentas de WhatsApp de varios miembros de su familia.
Nos indicó que, tanto él, como su mujer y su hija, habían recibido un mensaje a través de WhatsApp, en el que supuestamente su proveedor de servicios, les indicaba que tenían que marcar un código para solventar un incidente en la línea.
En aquel momento no sospecharon y realizaron lo que les solicitaban, lo que desconocían es que esta marcación realmente activó el desvío de llamadas a otro número de teléfono propiedad de los ciberdelincuentes.
Aprovechándose de esta situación, los ciberdelincuentes solicitaron el SMS de verificación de WhatsApp a través de llamada, haciéndose así con el acceso a las cuentas.
Además, una vez que tuvieron las cuentas en su poder, escribieron a los contactos de las víctimas, suplantando su identidad, pidiéndoles dinero bajo diferentes excusas, incluso llegando a causar daño económico a alguno de ellos.
Afortunadamente, en el momento de llamarnos, nuestro usuario ya había recuperado el control de su cuenta, pero su mujer y su hija no, por lo que decidió contactar con nuestro servicio para conocer las pautas a seguir ante este tipo de incidentes.
¿Qué pautas le hemos dado?
Por nuestra parte, facilitamos al usuario las siguientes pautas para recuperar las cuentas que aún no habían conseguido recuperar:
- Contactar con su operadora telefónica para eliminar el desvío de llamada y comprobar el estado de la línea, como otros posibles desvíos de llamadas, servicios de tarificación especial, etc.
- En la medida de los posible, avisar a todos sus contactos que pudieran para evitar que caigan en algún engaño.
- Contactar con el soporte de WhatsApp a través del correo electrónico que tienen habilitado para tal fin support@whatsapp.com, para comentarles lo sucedido y que les pudieran ayudar.
- Si por este medio tampoco conseguían recuperar la cuenta, ponerse en contacto con delegado de protección de datos de WhatsApp.
- Si con los pasos anteriores y en el plazo de un mes no recibe respuesta o bien esta es negativa, acudir a la Agencia Española de Protección de Datos para denunciar la falta de atención al derecho.
- Reunir todas las pruebas posibles.
- Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, que recoja la suplantación de identidad bajo la que se han cometido otros fraudes a terceras personas.
Además, de forma preventiva, le recomendamos llevar a cabo las siguientes acciones:
- Activar doble factor de autenticación, tanto en WhatsApp como en todas las plataformas y servicios que utilicen y sea posible.
- Usar el sentido común y no facilitar datos personales o bancarios, ni seguir instrucciones de llamadas o mensajes sospechosos.
Por otra parte, para los contactos que han resultado estafados le dimos las siguientes pautas:
- Recomendarles ponerse en contacto con nosotros a través del teléfono 017 o alguno de nuestros otros canales.
- Recopilar todas las evidencias de las que dispongan.
- Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Ponerse en contacto con su entidad bancaria para comentar lo sucedido y tomar las medidas oportunas.
- En caso de no resultar favorable la solicitud a través de la entidad bancaria, presentar la reclamación para recuperar su dinero a través del Banco de España.
Finalmente, le recordamos que ante cualquier otra consulta o duda estábamos a su disposición en la Línea de Ayuda de Ciberseguridad de INCIBE todos los días de 08:00 a 23:00 h.