Una mujer de 52 años está a punto de coger un avión de la UE a España. En la sala de espera, resuelve temas laborales en múltiples chats simultáneos de WhatsApp. De repente, su marido, al lado, le oye decir: “Vaya esta la que me ha liado aquí con el WhatsApp. El voy a bronca bronca, me ha ya hecho colgada. Un amigo me pidió que le pidiera un código para verificar y ahora no me funciona WhatsApp y tengo que rastrearlo», dijo, según un mensaje.
El mensaje no estaba claro, de un amigo, si no de un usurpador que le había robado el uso de WhatsApp. Incluso antes de abordar el avión, varios amigos le escribieron al marido: “Oye, que moi ha escrito tu mujer y me está pidiendo dinero, mais no puede hablar”, dijo. Durante el viaje, el autor escribió a colegas y acompañantes de las víctimas con peticiones de dinero por separado: “Algunos certifican que ustedes ordenaron el dinero”, recibió el marido. Calculó que el dinero robado podría alcanzar los millones de euros de las tres personas que picaron. Los estafadores pagaron 2.500 euros a unos amigos, pero en el ayuntamiento había unos cientos. EL PAÍS vio detalles y detalles sobre el caso, pero no sobre los datos personales de las víctimas porque trabajaron para no añadir más problemas a su situación.
¡A mí entre ellos! Y puede salirse con la suya perfectamente.
— Esther González (@EstherGonzalz) 3 de junio de 2024
La sorpresa es que, y ahora algunos amigos han escuchado en las redes sociales denunciarlos, es por eso que el usurpador le dijo a la víctima: “Hola nena, ¿estás muy ocupada? ”, escribió a uno. “Amore necesito realizar un pago”, otro. “Es sorprendente porque usamos nuestras palabras. No tengo idea de cómo hacerlo, pero el desorden”, explica este periódico amigo que recibió los mensajes. «Lo que parece una IA, parece una persona», añadió. Probablemente sea una persona.
Los cigarrillos de todo tipo han desaparecido en los últimos años. Su entusiasmo y complejidad son los que tienen a bordo los agentes políticos. No se crean variantes, pero a veces cuesta entender qué está pasando y cómo puede ser. Este caso sirve para solucionarlo con la ayuda de expertos que podrían pasar en un escenario como este y que podrían hacer para evitar o al menos minimizar el golpe.
La parte más fascinante del ataque es el uso de palabras clave en mensajes nuevos. ¿Es posible que los usuarios envíen mensajes automáticamente con ChatGPT para facilitar la mensajería y ganar más dinero? Es posible, pero improbable, grita Martín Vigo, fundador de Triskel Seguridad y presentador del podcast Tierra de hackers. “Tienes un poco de complejidad automatizada. Las tendencias a automatizar externamente no pueden automatizar una solicitud. Y en WhatsApp de escritorio sueles usar a otra persona, algo que te hace perder la rata, pero no es con un programa Python que lo hiciste», explica Vigo.
» Que haces ? »
Así que ¿cómo se hace? A mano, con copia y pega, grita Vigo. “Otros 10 segundos más, se vuelve más eficiente mirar el mensaje anterior”, afirma, y detalla el proceso: “Tú controlas WhatsApp. Nos vemos para envidiar los enlaces del pueblo. Mira los tres o cuatro mensajes anteriores y luego sigue el tipo de saludo al enviar un mensaje. ‘Hola, tío, ¿qué pasa, crack? ¿Qué tal? Y solo pongo eso y tu Copiar el restaurante del cuaderno”. “No es posible automatizar todo eso también, porque parte de la dificultad de la automatización es ser una aplicación solicitada. No es un programa Python”, añadió.
¿Cómo evitar esto? «Hay una explicación según la cual una persona del código o alguien que solo puede saber: ¿pasamos el año de vacaciones?, por ejemplo», dijo Carlos Solano, responsable de la consulta de Ardiciber, especializada en víctimas de ciberestafas. Otras opciones rápidas, como aquí, son reproducir un audio o escribirle a alguien que esté con la víctima, en este caso, el marido.
Esto explica sólo una parte del asunto: la intención del robot del dinero. Pero antes de que el usurpador tenga acceso al WhatsApp del amigo de la víctima, un proceso que puede mecanizarse. «Eso es lo que hace la gente Secuestro de datos, has automatizado toda la parte de penetración dentro del perímetro. Correos electrónicos de Suplantación de identidad Automatizado, escaneo de puertos automatizado, identificación automatizada de vulnerabilidades. Cuando te metes en un teclado escribes y haces estas cosas porque automatizar absolutamente todo es difícil”, afirma Vigo.
¿Cómo recupero una cuenta de WhatsApp? Hay muchos modales. Por el contrario, en una norma social roja tenemos un número de identificación o correo electrónico y correspondencia, en WhatsApp el identificador es el número y podemos registrarnos con un código de sus letras que reciben ese número. Entonces, una vez que sepas el número de la víctima, solo será necesario obtener el código.
En este caso, resulta interesante que el atacante accede a un número y, en lugar de hacerlo siguiendo a los contactos, lo utiliza para desplazarse horizontalmente y acceder a otros números. Con su nombre y su número, está el código de sus cifras para sus amigos, que acuden allí sin pensarlo mucho. Esto permite a los delincuentes aumentar sus opciones para atraer más víctimas. Es probable que observe la actividad y la víctima esté flotando en un avión grande, decidiendo que este sería un buen momento para atacar.
A Vigo se le ocurrió en 2018 una forma de hackear el botón de voz para obtener el código que pide WhatsApp para llamar en lugar de SMS. En Brasil, se utilizan siglos para acceder a los teléfonos, incluidos los políticos. Otro modo de automatización es el de la ingeniería social, con un mensaje como: “Perdona me he equivocado y te ha llegado a ti el código, ¿me lo puedes pasar?” «. “Esto es automatizado si tienes una lista de números, automáticamente grabas WhatsApp durante 20 segundos para ese mensaje. Si desafías el código, estás aquí. Puedo tener millones de teléfonos y no tengo mucho dinero”, afirma Vigo.
Una variación de este método de ingeniería social es utilizar la empresa propietaria de WhatsApp, Meta: «Hay un tipo de ataque en el que dijiste: ‘El departamento de seguridad informática de Meta nos pide un código para sus dígitos para responder en WhatsApp'», explica. Solano.
Otros métodos más complejos, pero los más factibles si se conoce a la víctima, son a través de una página web donde hay un formulario. Al registrarte, tendrás autenticación de dos factores y requerirás un SMS. Este SMS, en lugar de la fuente de esta página web falsa, es el meta para guardar tu número en WhatsApp. Cuando las palabras en la página están ahí, se las solicitan a los usurpadores. También puedes acceder a la versión web de WhatsApp si ya está abierta en un lugar público: «Voy a ir a algún lugar, mira el PIN de tu número, estás en el baño y en un minuto ingresa a tu Whatsapp». En mi móvil desde la web vendo un código QR, que se muestra con tu teléfono y accedo a tu WhatsApp con todas tus conversaciones. Eso es lo más interesante, porque puedo ver lo que escribe, escribir para ti, lo que quiero”, explica Vigo.
puedes seguir EL PAÍS Tecnología fr. Facebook Y X o haga clic aquí para recibir el nuestro boletín semestral.