A Raúl le marcaron mientras trabajaba. Del otro lado de la línea, una voz masculina con tono de prisa le dijo que estaba en su puerta para entregarle un paquete de Amazon. "Hola, qué tal. Soy Alberto, de servicios de Amazon", escuchó. Raúl intentó recordar, pero no logró concretar haber hecho un pedido. Mientras lo intentaba, el intento de fraude avanzó rápidamente: "¿me puedes dar el número de confirmación que te acaba de llegar?", pidió el supuesto repartidor.
Raúl no es un desconocido de la tecnología, así que en cuanto separó su celular de la oreja para leer el código, detectó enseguida que el número que acababa de llegar a su teléfono no era de Amazon, era el necesario para entrar a su cuenta de WhatsApp. Súbitamente molesto, Raúl espetó: "Oye compa: ¿por qué me quieres hacer fraude? ¿Tú qué ganas con eso?"
"La neta es que de todas formas ya está hackeada tu cuenta" dijo el falso repartidor, justo antes de colgar.
Una nueva campaña de fraude
El testimonio dado a Xataka México coincide con una serie de quejas que, repentinamente, han comenzado a aparecer en redes. El usuario Máximo Allende describió exactamente la misma treta, al igual que Ignacio Gómez y hasta el productor de programas informativos, Gonzalo Oliveros. Se trata de una técnica antigua que ahora ha evolucionado en ingeniería social y se basa en los tradicionales códigos que, según el monto de entrega, pueden ser necesarios para la recepción de órdenes de comercio electrónico.
Suplantar la identidad de alguien para inspirar confianza y pedir el código de acceso a cuenta de WhatsApp es una técnica que se popularizó en 2021, cuando quien intentaba la estafa se hacía pasar por un amigo o conocido. En aquel entonces, a propósito de la pandemia, había un modus operandi ligeramente más sofisticado que consistía en que el defraudador se hacía pasar por alguna institución sanitaria y llevaba a cabo todo un cuestionario relacionado con COVID-19. Al término, pedía al usuario dar el código de WhatsApp que llegaba a su celular, según documentó Kaspersky en 2021.
La nueva campaña que parece ser operativa en México depende de la confianza depositada en Amazon y marketplaces similares. Las recomendaciones para evitar ser defraudado no son tan distintas a antes: no tener prisa al dar códigos solicitados por mensaje o llamada, activar la verificación en dos pasos y establecer contraseña en buzón de voz. La última es una medida adicional que responde a que en 2022 se popularizó la técnica de obtener el código para acceder a cuenta ingresando al buzón de voz de las víctimas, cosa que es perfectamente posible en México.
No tener prisa es fundamental. Según lo contado por Raúl, la llamada del supuesto repartidor era verosímil porque su voz denotaba prisa y porque hablaba muy rápido. No fue sino hasta que prestó atención a la notificación que notó que se trataba de un código de WhatsApp. "Hablaba muy apurado. Sí lo noté como si estuviera trabajando rápido, como si sí fuera un repartidor. Como si anduviera en friega y necesitara del dato", dice.
El teléfono usado para intentar a estafar a Raúl continúa operativo y recibe llamadas.
Robar una cuenta de WhatsApp es el primer paso para un defraudador. Usualmente, después de obtener el acceso, la cuenta es utilizada para solicitar dinero en forma de transferencias directas a amigos y familiares. Es, en otras palabras, esencial para concretar un spoofing.
La verificación en dos pasos puede activarse sencillamente desde el apartado de cuenta en WhatsApp. Con esta función, los usuarios crean y confirman un PIN único que se requiere para acceder a la cuenta. El PIN de verificación en dos pasos es distinto al código de registro de seis dígitos que los usuarios reciben por SMS o llamada al ingresar a la cuenta desde un nuevo dispositivo.
Commentaires