El robo de cuentas de WhatsApp de clientes de ciertas operadoras en España ha sido especialmente fácil hasta hace poco debido a la fragilidad del sistema de autentificación del buzón de voz. Esta es la solución que ha puesto WhatsApp para evitar la técnica del buzoneo.
El cibercrimen es una industria
Un cibercriminal ya no es un lobo solitario utilizando sus conocimientos para conseguir ilegalmente un dinero extra. Hay toda una industria profesionalizada gestionada por mafias que se dedica a explotar sistemáticamente las vulnerabilidades de los sistemas y la ingenuidad de la gente. En algunos casos hay regiones enteras en países menos desarrollados donde esta actividad se ha convertido en una importante fuente de ingresos1, por lo que el problema solo puede ir a más.
La popularidad de la app de mensajería WhatsApp la hace un medio ideal para llegar a nuevas víctimas. Hace ahora un año aparecía a la venta en un conocido foro sobre piratería una base de datos que contenía las credenciales de casi 11 millones de cuentas de WhatsApp1 de números de teléfono españoles. Aunque se sospecha que los datos se obtuvieron mediante la extracción automatizada desde alguna URL que Meta no tenía debidamente protegida, lo cierto es que a día de hoy sigue siendo un misterio de dónde salió esta información.
Cómo funciona el método del buzoneo
Una forma de robar cuentas de WhatsApp que ha funcionado hasta hace poco ha sido mediante la técnica del buzoneo. Consiste en usar el buzón de voz del número de teléfono de la víctima para obtener el número de verificación que manda WhatsApp y robar su cuenta.
Al configurar WhatsApp por primera vez en un móvil, se envía un SMS con un código de verificación para confirmar que el usuario realmente tiene acceso a la línea que ha indicado y no es la de otra persona. Como alternativa al SMS, WhatsApp ofrece hacer una llamada telefónica en la que una locución facilita el código.
Lo que hace el atacante es instalar WhatsApp en su móvil, registrarse con el número de la víctima y pedir verificación por llamada telefónica. Esto lo hace en horario nocturno, cuando el verdadero titular no va a atender la llamada, de forma que la llamada de verificación es atendida y grabada por el buzón de voz.
En este punto te preguntarás ¿cómo sabe el atacante que el buzón está activo y cómo accede a la grabación? Hay que recordar que el acceso al buzón de voz está protegido por un código PIN de 4 cifras. Aunque la técnica del buzoneo era conocida, no estaba claro cómo el atacante conseguía acceder al buzón. Ahora sabemos que algunas operadoras España lo han estado poniendo muy fácil.
MásMóvil verificaba el acceso al buzón por el Caller ID
En este vídeo puedes ver cómo el atacante accede a un buzón de voz de Yoigo marcando el 633633633 y a continuación el número de la víctima con su PIN para escuchar los mensajes. En el texto del vídeo explica cómo ha conseguido el acceso a la línea.
Tienes que acceder con spoof llamando al +34 633 633 633 para configurar PIN por primera vez.
Hasta hace pocos meses, las marcas del Grupo MásMóvil permitían el acceso al buzón de voz sin necesidad de introducir el PIN cuando la llamada se originaba desde la línea del cliente. La forma de autentificar al usuario era comprobando que la identificador de llamada correspondía con el número del cliente. Por desgracia, este campo Caller ID es fácilmente manipulable, lo que se conoce como spoofear el número.
El usuario @Tinkinaz304 nos cuenta que él mismo avisó a los responsables de la operadora de este fallo y tras un mes le dieron solución, por lo que a día de hoy los clientes de MásMóvil están protegidos.
Movistar permite resetear la clave del buzón por WhatsApp
Los clientes de Movistar también han estado afectados por este problema. Como se puede ver en este otro vídeo, en su caso los atacantes utilizan el canal de atención al cliente mediante WhatsApp para pedir que reseteen la clave del buzón de voz al código por defecto, 1234. Para ello solo se les pide el número de DNI y nombre completo del cliente, que previamente han obtenido de los muchos listados procedentes de filtraciones de datos personales de empresas.
Qué ha hecho WhatsApp para frenar el buzoneo
La técnica del buzoneo ha dejado de ser útil a día de hoy. Han sido tantos los afectados que WhatsApp ha introducido una sencilla pero efectiva medida. Ahora la llamada de WhatsApp requiere que el usuario pulse una tecla antes de que la locución diga el código de verificación. La tecla es distinta en cada ocasión, con el fin de que el atacante no pueda grabar el tono DTMF de la tecla en el mensaje del contestador.
