El objetivo principal del autor de estos hechos es el de usurpar la identidad de la víctima, con la finalidad de obtener información sensible de la misma o de otra persona de su entorno, haciéndose pasar

por un amigo o persona conocida.

Así, se envía un malware o virus de tipo troyano, a través de un mensaje Whatsapp lanzado desde una cuenta usurpada previamente, que al ser abierto por los destinatarios, al proceder de un contacto fiable y seguro de nuestro grupo, se ocultará en los diferentes dispositivos móviles usurpados.

El objeto es recabar información bancaria, personal o de cualquier tipo con la que puedan lucrase, coaccionar a la víctima o incluso realizar actividades ilícitas desde dicho terminal, ocultando así la verdadera identidad del autor, llegando incluso a causar daños en el hardware y software del dispositivo.

EL PROCESO.

El proceso utilizado por el delincuente para usurpar una cuenta es el mismo que realiza cualquier usuario de la aplicación Whatsapp cuando la instala por primera vez, con la diferencia de que, a la hora de indicar la línea de teléfono a la que se quiere asociar, indica la línea de la víctima a la que se la quiere usurpar.

Seguidamente, al teléfono de la víctima llegará un mensaje de texto del tipo SMS con un código de verificación. El mensaje, procedente de Whatsapp, contiene un código numérico de 6 dígitos: "Codigo de WhatsApp XXX-XXX. También puede enviar un mensaje donde dice sigue este enlace para verificar: v.whatsapp.com/XXXXXX".

Simultáneamente, a través de un contacto conocido de nuestra agenda, recibiremos un mensaje en el que se nos solicita, bajo cualquier pretexto o excusa, que le reenviemos el mensaje recibido con anterioridad.

Este mensaje, con toda seguridad, procede del autor de los hechos que, previamente, ha usurpado la cuenta y la identidad de nuestro contacto del mismo modo que se ha explicado.

Es evidente que la víctima, dado que el mensaje proviene de una persona conocida, en la mayoría de los casos reenviará el mensaje solicitado con el código de activación.

Eso es, precisamente, lo que necesita el delincuente para activar el Whatsapp en otro terminal y asociarlo a la línea del perjudicado, quedando inutilizada la cuenta en el teléfono de la víctima y, a partir de ese momento, el delincuente pueda hacerse pasar por la víctima en la aplicación Whatsapp, para seguir usurpando nuevas identidades.

RECOMENDACIONES.

La primera y más obvia es no enviar a nadie ese código de activación

que nos llega por SMS, solicitado por el supuesto contacto de nuestra agenda. Aunque la persona que nos lo pida sea alguien conocido, ya que a esta persona, previamente, le habrán usurpado su propia cuenta. Por tanto, no deberíamos fiarnos y procederemos a llamar inmediatamente a nuestro contacto, para que nos confirme lo solicitado.

Como prevención, activar una opción denominada Verificación, en dos pasos, que nos ofrece Whatsapp. Con esta opción activada, aunque la víctima fuera engañada y enviara el código de confirmación al delincuente, este no podría usurpar la cuenta, al no conocer un código pin de 6 dígitos configurado previamente y que Whatsapp solicitará para instalar la cuenta de la víctima en otro terminal.

Para más información sobre la opción de verificación en dos pasos que ofrece Whatsapp, puede visitarse la zona de preguntas frecuentas de la aplicación, así como la web de la Oficina de Seguridad del Internauta en los siguientes enlaces:

https://faq.whatsapp.com/es/general/26000021/

https://www.osi.es/es/actualidad/blog/2017/02/14/whatsapp-implementa-la-verificacion-en-dos-pasos

(oficina de seguridad del internauta)

QUÉ HACER.

Ante una usurpación, se debe comunicar a Whatsapp a través del correo electrónico support@whatsapp.com lo que ha sucedido con nuestra cuenta, indicando el número de teléfono usurpado, con ello es posible que Whatsapp permita la recuperación de esa cuenta en un período inferior a los 7 y 30 días marcados como norma general.

También se debe comunicar a nuestros contactos, lo antes posible, que hemos sido víctima de una usurpación, al objeto de que no sean engañadas nuevas personas con el mismo modus operandi, evitando así "malos entendidos".

No se debe dar de baja la línea telefónica. Eso no impedirá que el delincuente siga usando la cuenta usurpada, ya que Whatsapp opera a través de Internet y no a través de la línea telefónica.

La línea telefónica sólo se utiliza para confirmar el número de teléfono en el momento en el que se instala la aplicación en el terminal. Además, si se da de baja la línea, perderemos toda opción de recuperar nuestra cuenta de Whatsapp, ya que nunca podremos recibir el mensaje de texto SMS necesario para recuperarla.

Desde esta Jefatura Superior de Policía de La Rioja se quiere señalar que, la realización de este tipo de hechos, dependiendo de la finalidad que se quiera alcanzar con los mismos, puede implicar para sus autores la participación en varios delitos tipificados en Código Penal, entre los que cabría destacar la Revelación de Secretos, Daños Informáticos, Coacciones, Extorsión, Acoso o Estafa, todos ellos sancionados con diferente cuantía de penas de prisión y otras sanciones accesorias.

Consulta aquí más noticias de La Rioja.