Una estafa basada en enginyeria social permet que els ciberdelinqüents accedeixin a comptes de WhatsApp tot aprofitant la vinculació de dispositius.

Una nova estafa permet agafar el control de comptes de WhatsApp sense robar contrasenyes ni clonar la SIM. L’engany fa que el mateix usuari vinculi el compte a l’atacant.

Els fraus i atacs cibernètics ja no són un fenomen aïllat: són una amenaça constant que afecta milers de persones i empreses cada any. Segons informes independents sobre ciberseguretat, un de cada set usuaris ha patit una estafa en línia recentment i les xarxes socials s’han convertit en el principal canal de frau, superant fins i tot el correu electrònic o els SMS tradicionals.

Aquesta tendència reflecteix un creixement de delictes informàtics i fraus per Internet, des de la suplantació d’identitat fins a la manipulació directa de comptes personals. De fet, organismes oficials i experts alerten d’un increment sostingut dels ciberdelictes els darrers anys, en línia amb l’expansió digital i l’ús massiu d’aplicacions de missatgeria i xarxes socials per a la vida quotidiana. 

A més, fa temps que les estafes ja no es limiten a correus de pesca o falses pàgines web: grups criminals especialitzats han estat identificats per segrestar comptes de WhatsApp d’usuaris, mitjançant enginyeria social i tècniques cada vegada més elaborades.

GhostPairing, la nova forma de ‘hackejar’ el WhatsApp

L’última campanya detectada per investigadors de ciberseguretat ha estat batejada com a ‘GhostPairing‘ un mètode de segrest de comptes de WhatsApp que no necessita ni contrasenyes ni el clonatge de la targeta SIM per funcionar.

A diferència dels atacs clàssics, aquest frau comença amb un missatge aparentment innocent: la víctima rep un enllaç d’algú de la llista de contactes que el convida a veure una foto en què suposadament apareix. Aquest enllaç porta a una pàgina falsa, que imita l’inici de sessió de serveis grans com Facebook, i demana el número de telèfon i la verificació mitjançant un codi o QR que caldria escanejar amb la mateixa app de WhatsApp. El procés està dissenyat per guiar l’usuari pels passos legítims d’importació de compte en un nou dispositiu, però en realitat està vinculant la sessió a un navegador controlat pel delinqüent.

Un cop completat aquest fals aparellament, l’atacant obté accés total al compte de WhatsApp de la víctima al navegador: pot llegir missatges, descarregar arxius i reenviar continguts o enllaços maliciosos a tota l’agenda de contactes, tot això sense aixecar sospites davant dels sistemes de seguretat de la mateixa plataforma.

No és la primera vegada que WhatsApp és objectiu de fraus

Encara que ‘GhostPairing‘ sembla nou, recorda altres tècniques d’estafa que han circulat durant temps en aquesta plataforma. Una de les més conegudes a Espanya ha estat la trucada ‘estafa dels sis dígits’, en la qual un atacant aconsegueix que la víctima li faciliti el codi de verificació que WhatsApp envia per SMS per registrar un compte nou. Amb aquest codi, l’atacant pot activar el compte en un altre dispositiu i prendre’n control, suplantant la identitat de l’usuari i demanant diners als contactes.

Aquest tipus de frau, basat en l’enginyeria social, ha estat advertit reiteradament per la Guàrdia Civil i la Policia Nacional: mai no s’han de compartir codis de verificació amb ningú, ni tan sols si qui ho sol·licita sembla ser un contacte conegut. 

Com protegir-te i quines mesures prendre ara

Davant aquesta onada de fraus que exploten tant errors humans com tècniques cada vegada més enginyoses, els experts recomanen:

• Activar sempre la verificació en dos passos als comptes de missatgeria. 
• No prémer enllaços sospitosos, encara que provinguin de contactes coneguts. 
• Verificar per altres mitjans (trucada, missatge separat) qualsevol sol·licitud urgent de codis o accés. 
• Mantenir actualitzat el dispositiu i les aplicacions per minimitzar vulnerabilitats.

La realitat és que les amenaces evolucionen tan de pressa com la tecnologia que fem servir i el risc més gran segueix sent la confiança i la rapidesa amb què reaccionem abans de pensar.