Existe un truco que permite a atacantes secuestrar la cuenta de WhatsApp de una persona y acceder a los mensajes personales y a su lista de contactos. Este ataque fue descubierto por la empresa CloudSEK y el medio especializado en seguridad Bleeping Computer probó y descubrió que el método funciona, aunque con algunas dificultades "que un atacante suficientemente hábil podría superar".

¿Cómo lo consiguen? Pues por lo que se sabe hasta ahora, el método se basa en usar un servicio automatizado de los operadores de telefonía móvil y así desvían las llamadas a un número de teléfono diferente, usando la opción de WhatsApp de enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.

Unos minutos para hacerse con WhatsApp

El atacante necesita conocer el número de teléfono del objetivo para lograr su propósito. Conseguir los números no es tan dificil. El año pasado, gracias a ataques masivos de phishing, unos atacantes se hicieron con números de gran parte de la ciudadanía española. Y también tras un ataque a Facebook.

Según los expertos, "se tarda sólo unos minutos en hacerse con la cuenta de WhatsApp de una víctima". El líder de CloudSEK dice que un atacante necesita primero convencer a la víctima de que haga una llamada a un número que empiece con un código de Interfaz Hombre-Máquina (MMI) que el operador de telefonía móvil haya configurado para permitir el desvío de llamadas.

Un Código USSD en ejecución (o código …