¿Cómo hackear WhatsApp? Explotación de QRLJacking
Lo lógico sería intentar configurar de nuevo WhatsApp en tu teléfono. Introduces tu número y esperas el código de verificación. El informe sugiere que no llegará ningún código por SMS y la aplicación te dirá “Espera antes de solicitar un SMS o una llamada”. Esto se debe a que tu teléfono está ahora sujeto a la misma cuenta atrás de 12 horas con oportunidades limitadas de re-verificación. “Pero de repente recuerdas que has recibido códigos de WhatsApp inesperados una o dos horas antes. Recuperas el SMS más reciente e introduces el código en WhatsApp. Pero ni siquiera esto funciona. “Has adivinado demasiadas veces”, te dice tu WhatsApp. Obviamente, no has adivinado nada. Pero tu teléfono tiene las mismas restricciones que el del atacante. No puedes solicitar un nuevo código, no puedes introducir el último código, estás atrapado”, dice el informe.
El problema de la arquitectura de verificación de WhatsApp es que los códigos de SMS y el soporte de correo electrónico automatizado no tienen ninguna segunda capa para comprobar la autenticidad y está muy abierto a los abusos. Los investigadores también señalan que este tipo de ataque no necesita ninguna sofisticación para ser implementado. “No hay forma de optar por no ser descubierto en WhatsApp. Cualquiera puede teclear un número de teléfono para localizar la cuenta asociada si existe. Lo ideal sería que un movimiento más centrado en la privacidad ayudara a proteger a los usuarios de esto, así como obligar a la gente a implementar un PIN de verificación en dos pasos”, dijo Jake Moore de ESET a Forbes. WhatsApp simplemente se vincula a un número de teléfono y no tiene una política de dispositivo de confianza que lo vincule a un ID de dispositivo o al sistema operativo en el que se instaló y verificó por última vez.
Trucos secretos de WhatsApp
En la segunda parte de su investigación sobre Tek Fog, The Wire analiza la tecnología que hay detrás de la aplicación secreta que permite a las tropas cibernéticas vinculadas al BJP hackear cuentas de WhatsApp y llevar a cabo campañas específicas utilizando herramientas de automatización de terceros.
Nueva Delhi: La tecnología desarrollada y desplegada por agentes políticos que trabajan en favor de los intereses del partido gobernante de la India parece haberles dado la capacidad de añadir scripts a las URL de las noticias publicadas en las principales plataformas para redirigir a los lectores desprevenidos a noticias falsas y también hackear y hacerse con cuentas de WhatsApp, exponiendo potencialmente a millones de indios al riesgo de robo de identidad.
La semana pasada, The Wire publicó la primera parte de su investigación de 20 meses sobre la aplicación secreta “Tek Fog”, utilizada por los ciberoperativos para manipular las tendencias de las redes sociales a favor del Bharatiya Janata Party y atacar a los críticos del gobierno de Narendra Modi.
El informante también afirmó que la lista de contactos de la cuenta comprometida se sincroniza con una base de datos políticos basada en la nube de la aplicación, lo que hace que los números de la lista estén disponibles como objetivos potenciales en futuras campañas de desinformación, acoso o trolling.
WhatsApp hackeado: ¿Cómo?
10 de abril de 2021, 06:30 am EDT|Una nueva y desagradable sorpresa para los 2.000 millones de usuarios de WhatsApp hoy, con el descubrimiento de un alarmante riesgo de seguridad. Utilizando sólo tu número de teléfono, un atacante remoto puede desactivar fácilmente WhatsApp en tu teléfono y luego impedir que vuelvas a entrar. Ni siquiera la autenticación de dos factores puede impedirlo. Así es como funciona el ataque.
“Este es otro hackeo preocupante”, advierte Jake Moore de ESET, “uno que podría afectar a millones de usuarios que potencialmente podrían ser blanco de este ataque. Con tanta gente que confía en WhatsApp como su principal herramienta de comunicación para fines sociales y laborales, es alarmante la facilidad con la que esto puede ocurrir.”
Y luego tenemos la lacra de los secuestros de cuentas. Mes tras mes, vemos advertencias sobre diversos tipos de estafas, en las que se engaña a los usuarios para que entreguen el código de seis dígitos que se envía por SMS para activar una nueva instalación de WhatsApp. Y una vez que una cuenta ha sido secuestrada, su restauración puede llevar mucho tiempo y ser dolorosa. Incluso hemos visto historias sobre cuentas secuestradas que han provocado el bloqueo de otras cuentas.
Whatsapp hackeado
Este vídeo y el posterior hackeo que menciona parecen ser falsos. Los verificadores de hechos de la India, BOOM, han comprobado los hechos y han descubierto que el mensaje es un engaño, y también mencionan un mensaje muy similar que circuló antes en 2020 y que mencionaba a Argentina en lugar de a la India.
Otros verificadores de hechos como Snopes, Africa Check y Chequeado (con sede en Argentina) también comprobaron este mensaje sobre el país, cuya redacción era casi idéntica a la del mensaje más reciente, y también lo encontraron falso.
WhatsApp ofrece consejos para las personas que creen haber recibido un mensaje de engaño o phishing. Dos de las cosas clave que dice que hay que tener en cuenta son los mensajes que piden al usuario que los reenvíe (lo que hace este mensaje) y los que afirman que se puede evitar algún tipo de castigo al hacerlo (otra cosa que también hace este mensaje).
Estos mensajes sobre la India y Argentina son muy similares a otros mensajes virales que desmentimos a principios de este año. En aquel entonces escribimos que la empresa de ciberseguridad Sophos había dicho que “en teoría, reproducir un archivo de vídeo con trampa deliberadamente en el teléfono móvil podría terminar en una infección de malware”, pero es muy raro.
