S’assembla a l’estafa del codi de sis xifres, però ni tan sols requereix que l’estafador parli amb nosaltres per enganyar-nos.

Whatsapp és un canal cada vegada més important amb el qual connectar-nos amb el món, cosa que constitueix tot un incentiu perquè els ciberdelinqüents de tota mena tractin de suplantar-nos en aquesta plataforma, generalment, mitjançant el robatori dels nostres comptes. L’estafa del codi de sis xifres n’és un exemple perfecte.

Tanmateix, un altre mètode que es fa servir amb aquesta finalitat, i que ja ha estat identificat pels experts en ciberseguretat, és la tècnica de la bustiada, que explota vulnerabilitats tant del sistema de verificació de WhatsApp com de la bústia de veu dels nostres telèfons mòbils.

Què és la tècnica de la bustiada?

La tècnica de la bustiada és un mètode utilitzat pels ciberdelinqüents per robar comptes de WhatsApp que aprofita qualsevol vulnerabilitat en el sistema d’autenticació a través de la bústia de veu d’un telèfon mòbil. No tots els usuaris són vulnerables a aquest atac, i no tots els vulnerables ho són de la mateixa manera.

Com funciona la bustiada

La bustiada es basa a obtenir el codi de seguretat de WhatsApp adreçat a un usuari però desviat a la seva bústia de veu. Els atacants primer instal·len WhatsApp i intenten accedir-hi fent servir el número de la víctima. WhatsApp ofereix dos mètodes per enviar un codi de verificació: per SMS o mitjançant una trucada telefònica amb una locució que proporciona el codi.

En aquest cas, els atacants triaran l’opció de trucada telefònica. L’objectiu principal dels atacants és que la trucada amb el codi de verificació vagi a la bústia de veu de la víctima, en cas que aquest estigui activat.

Si la trucada de verificació es desvia a la bústia de veu durant la nit, durant una trucada en curs o quan el telèfon està apagat, poden accedir a aquesta bústia de veu de manera remota i d’aquesta manera poden obtenir el codi necessari per activar el WhatsApp en un dispositiu nou.

En general, les bústies de veu estan protegides per un PIN de quatre dígits, però molts usuaris no canvien el PIN predeterminat, que sovint és fàcil d’endevinar, com ara “0000” o “1234”. Si els atacants aconsegueixen endevinar el PIN, podran escoltar el missatge amb el codi de verificació de WhatsApp i accedir al compte de la víctima, que perdria l’accés al seu compte de WhatsApp en el seu dispositiu habitual.

Vulnerabilitats a les operadores espanyoles

A Espanya, alguns operadors de telefonia mòbil han contribuït i/o contribueixen involuntàriament a l’èxit d’aquesta mena de ciberatacs:

• Per exemple, fins fa pocs mesos, les marques del grup MásMóvil permetien l’accés a la bústia de veu sense necessitat d’un PIN si la trucada s’originava des de la línia del client. El problema és que aquesta mesura de seguretat era fàcilment eludible si es recorria a tècniques de suplantació, que falsegen la identificació del número entrant de la línia.  Des de l’operadora ens confirmen que aquest mètode d’atac es va detectar a començaments del 2022, “i efectivament vam posar en marxa totes les mesures necessàries i va quedar resolt en dates posteriors.”

• Per altra banda, Movistar permet reinicialitzar la clau de la bústia a través del seu servei d’atenció al client per WhatsApp, amb tan sols el DNI i el nom del client. Després d’això, el PIN quedava establert de nou amb el codi per defecte: ‘1234’. El problema radica en el fet que ambdues dades són relativament fàcils d’aconseguir per molts ciberdelinqüents, que recorren a filtracions massives de dades disponibles al web profund.

Com evitar la bustiada al WhatsApp

Per contrarestar aquesta tècnica, WhatsApp recentment ha implementat una mesura que requereix que l’usuari pressioni una tecla determinada abans de rebre el codi de verificació a les trucades. En requerir que l’usuari pressioni aquesta tecla, Whatsapp s’assegura que la trucada és atesa activament per una persona i no simplement redirigida a una bústia de veu.

Tanmateix, els experts suggereixen que també s’adoptin mesures addicionals d’autoprotecció per protegir el teu compte de WhatsApp contra aquesta tècnica de bustiada:

• Canviar el PIN de la bústia de veu: Si tens activada la bústia de veu, canvia el PIN de seguretat predeterminat per un més segur. Ho pots fer posant-te en contacte amb el teu operador, a través de la web oficial del teu compte o trucant a la bústia de veu.
• Activar la verificació en dos passos de WhatsApp: Aquesta és una mesura addicional de seguretat que et permet configurar manualment un codi de sis dígits per activar WhatsApp en un dispositiu nou. Això sí, evita recórrer a patrons com ara dates d’aniversaris o informació personal que els atacants puguin endevinar per obtenir accés al teu compte.
• Desactivar la bústia de veu si no la fas servir: Si no fas servir la bústia de veu, considera l’opció de desactivar-la per complet.

Buscar operadors amb mesures de seguretat addicionals: En triar un operador de telefonia mòbil, investiga si ofereixen mesures de seguretat addicionals, com ara el blocatge d’accés a la bústia de veu des d’un mòbil aliè o des de l’estranger, o si requereixen canviar regularment el PIN de la bústia de veu.