Efecto secundario inesperado del pico de contagios: con la excusa de la vacuna vuelven los robos de cuentas de WhatsApp

Hablamos más con cuentas que con personas. Aunque parezcan lo mismo, no lo son. Uno supone que si chatea por WhatsApp con Ricardo, está Ricardo del otro lado del celular. No pedimos, usualmente, una demostración de identidad. La damos por comprobada. Verificarla demandaría un tiempo imposible. Y generaría fricciones innecesarias. Confiamos.

Todo este contexto de diferenciar cuentas de personas tiene un sentido: si no cuidamos nuestras identidades digitales (Instagram, Twitter, WhatsApp) y las perdemos en manos de un tercero, podríamos tener un problema; en principio, que alguien utilice nuestra cuenta para hablar en nuestro nombre (pero sin nuestra autorización) con nuestros contactos, amigos y familiares. Y, más allá de lo horrible de que alguien se haga pasar por nosotros, el mayor problema lo tendrán quienes sean contactados: serán quienes probablemente pierdan dinero por intentar ayudarnos. A nosotros no. A la cuenta. Al que la tiene en ese momento.

Ciberladrones, pero con corazón: su ransomware afectó a un hospital infantil y le mandaron la clave para liberar sus computadoras

Cuentas y personas no son lo mismo. Lo saben bien aquellos que perdieron su WhatsApp en las últimas semanas, en una oleada que lleva al menos dos años, que tiene picos de incidencia, pero que, lamentablemente, mantiene su vigencia, aunque vaya cambiando la excusa. El resultado es el mismo: delincuentes le roban la titularidad de WhatsApp a alguien y comienzan a contactar a sus amigos para pedirles plata. Pueden ser dólares a un precio más barato que el paralelo, o una transferencia urgente.

Le pasó a Adriana Brodsky quien lo contó en Twitter. Al ex intendente de la Ciudad de Buenos Aires Facundo Suárez Lastra le sucedió lo mismo en febrero de este año. En las últimas semanas, hubo de nuevo un pico de casos reportados de robos masivos. Suele suceder cada vez que hay alguna cuestión sanitaria, relacionada con una nueva dosis.

Qué hacen, y por qué

La metodología es la misma o parecida en todos los casos. Alguien se comunica por WhatsApp a las víctimas. En la llamada aparece un logo del Ministerio de Salud o de la App CuidAR. Dicen que necesitan información para que la víctima pueda darse la quinta dosis. Anteriormente, hubo otras cepas, como la de ofrecer un certificado de pase sanitario.

Lo cierto es que eso en realidad es un anzuelo, una excusa para captar la atención y empezar el proceso. En la conversación les avisan que les van a mandar un código por SMS; que esos números (seis) deberán dictarlos a la persona que les habla por teléfono. Servirán para “empadronarlos”. En rigor, es mentira. Los seis dígitos son los que les van a servir a los delincuentes para activar ese WhatsApp en un nuevo dispositivo. Es decir, transferirlo del teléfono de la víctima al dispositivo del ladrón. Es el mismo proceso que tiene que hacer cualquier usuario para activar por primera vez la cuenta, o pasar el mensajero a otra si cambia de teléfono (por uno más nuevo, por ejemplo). Y es la forma que tiene la app para verificar que solo el titular de esa línea verá ese mensaje. De hecho, en el SMS que manda WhatsApp en forma automática aclara que se trata para ese motivo y no para otro, y pide: “No compartas este código con nadie”. Pero son pocos los que leen el texto completo.

Una vez que los malhechores tienen el código y pueden activar el WhatsApp de la víctima en otro teléfono, empieza el calvario. Con el WhatsApp en su poder, acceden a las conversaciones. Y comienzan a mandar mensajes pidiendo dinero -en general, montos bajos- con la excusa de una urgencia doméstica y un mal funcionamiento del homebanking. El dinero será devuelto en breve, prometen. Del otro lado, lo que ven las demás personas es un mensaje que proviene, en teoría, de alguien que conocen, que pide una gauchada. ¿Por qué no hacerlo?

Martina M. cuenta que se dio cuenta al instante que la estaban tratando de estafar, pero que “no supo qué hacer”. Tras el llamado le pidió a su novio que le avisara a todos sus contactos que le habían sacado el WhatsApp. Ella lo intentó por Telegram. Pero no todos estaban allí.

Medidas preventivas

En esos casos, si fuimos víctima del robo de la cuenta, hay que mandar un mail a support@whatsapp.com. Se puede enviar en español. Con un Asunto como “Cuenta falsa / robada” y debe contener el número en formato internacional (+54 DDD ...). Y describir lo que sucedió con el mayor detalle posible en el cuerpo del correo electrónico. Los tiempos no son inmediatos: la compañía suele demorar en devolver la cuenta.

Martina tuvo al menos dos amigos que le transfirieron dinero a los delincuentes, creyendo que era ella: los mensajes de chat son todos iguales, sin importar quién los escriba. No hay simular un tono de voz o una letra manuscrita.

A Martín S. le pasó lo mismo, y tres padres del colegio de sus hijos le dieron dinero para ayudarlo en medio de unos supuestos problemas con el home banking. “Una vez que recuperé la cuenta, nunca supe qué hacer para retribuirles. No entendía si era o no mi responsabilidad. Finalmente, les di unos vinos”. Suárez Lastra utilizó la misma retribución con el abogado Ricardo Gil Lavedra, que fue el único que le transfirió. Lo cuento en el podcast Internet me Arruinó.

En todos los casos, los titulares de la cuenta tardan al menos una semana en recuperar su cuenta. Es el promedio, admiten desde WhatsApp. El problema adicional es que los delincuentes le ponen medidas de seguridad a esas cuentas para evitar perderlas. Y eso complica que vuelvan a las manos del original, explican desde la compañía.

La verificación en dos pasos

Esas medidas son las que todo poseedor de WhatsApp debería hacer y es ponerle el doble factor de autenticación. Se hace desde Ajustes - Cuenta - Verificación en dos pasos. Ahí hay que definir un correo electrónico y seis dígitos de seguridad. Si alguna vez, por esas cosas de la vida, alguien quisiera activar WhatsApp en otro dispositivo, nos llama en nombre del Ministerio de Salud, nos engaña para que le demos un código que nos llegó por SMS, y lo logra, no va a poder activar la cuenta en otro lado. Va a necesitar esos seis números adicionales, que sólo deben estar en nuestra memoria.

Otras “cepas” de la estafa

En su momento, el periodista Alejandro Rebossio explicó que le habían robado el WhatsApp con una forma más compleja. Mientras lo tenían al teléfono, le enviaron un código para activar WhatsApp, pero por llamada telefónica (la otra manera que tiene la app de verificar la línea) donde una voz dicta los números. Como él estaba hablando, esa llamada cayó en el contestador. En su momento, algunas telefónicas tenían la posibilidad de escuchar mensajes de contestador desde otra llamada, con una clave predefinida que era 1-2-3-4. Como el código caía en el contestador, los delincuentes podían escucharlo.

Esta forma, que no fue muy popular en la Argentina (y menos ahora, luego de que desactivaron la opción de escuchar mensajes a distancia), provocó una oleada de robos en México, hasta que desde la empresa cambiaron la metodología: aquellos que requieran el código por llamado de voz, para recibirlo debían atender y apretar el botón 1 para obtener el código.

Qué hacer desde el otro lado

Si falló la verificación en dos pasos, si alguien le dio el código a unos falsos emisarios de CuidAR, si un delincuente se apoderó de nuestra cuenta, entonces viene la reacción del otro lado. En estos días, el representante de artistas Javier Furgang reveló que fue contactado para intentar robarle la cuenta, pero pudo evitar el robo. Sebastián Bortnik, especialista en crianza digital y CEO de TecnoKids, mostró un modo sencillo de desarticular el pedido de dinero de un contacto: pedir un dato que esa persona que nos habla debería saber. O pedir una selfie.

Otra opción, ante pedidos de dinero, es directamente llamar al contacto por teléfono. Comprobar la identidad de quien nos escribe. Es decir, si cuenta y persona son en este caso lo mismo.