Así hackearon el Whatsapp de Albert Rivera

Así hackearon el Whatsapp de Albert Rivera

Los falsos mensajes en la app pueden abrir la puerta a la suplantación de identidad

JOSÉ ANTONIO GONZÁLEZ

«Albertito, ¿qué cojones hace un grupo llamado La Manada en tu Whatsapp?». Con este mensaje, Anonymous Catalonia llamaba la atención en Twitter. Además, ese mismo sábado por la noche mandaron otros mensajes con grupos en los que, supuestamente, está el líder de Ciudadanos como 'Operación Gaviota Rosa' y 'Europe high level only'.

Tras este anuncio, la formación política ha confirmado el ataque y robo de la cuenta y la posterior denuncia ante la Unidad de Delitos Telemáticos de la UCO. «Cada vez el mundo de la tecnología está más lleno de amenazas y lo que le ha pasado a Rivera puede ocurrirle a todo el mundo, aunque no sea un político», denuncia Miguel Gutiérrez, portavoz de Ciudadanos en el Congreso de los Diputados.

Rivera no es el primer gran nombre español afectado por un ataque en Whatsapp. La boda de Belén Esteban también fue objeto de codicia entre los ciberdelincuentes. «Me han hackeado el Whatsapp, si alguien recibe un mensaje mío no soy yo», así lo anunciaba la personaje del mundo del corazón.

En el caso de Rivera, el político español recibió un sms en el que se le informaba de que «su cuenta había sido hackeada» Los atacantes le informaban de «ubicación y hora del ataque» y, además, le exigían verificar la identidad. «Albert Rivera ha sido víctima de un tipo de hackeo conocido como 'phishing', un ciberataque que se caracteriza por intentar adquirir información confidencial (contraseñas, información bancaria, etc.) de forma fraudulenta», apunta a este periódico Eusebio Nieva, director técnico de Check Point en España y Portugal.

Tras ese momento la cuenta pasó a manos del ciberdelincuente y el político español fue expulsado de su propio Whatsapp. En el caso de Belén Esteban, la colaboradora de televisión recibió una imagen supuestamente enviada por la presentadora Ana Rosa Quintana y, tras hacer clic sobre la misma, un ciberdelincuente tomó control de su móvil, incluso intentando acceder a los servicios bancarios.

«El punto débil de su seguridad es la parte de WhatsApp web y el exceso de confianza de los usuarios que pueden olvidar cerrar sus sesiones», apunta Santiago López, analista de ciberseguridad de Mundo Hacker. El inicio en la versión escritorio de la app se realiza a través de un escaneo de un código QR. «La mejor forma de salir indemne frente a este tipo de ciberataques reside en adelantarse a estas posibles amenazas y utilizar nuestro smartphone con precaución, sobre todo cuando es un smartphone de trabajo o utilizamos nuestro propio dispositivo para conectarnos a la red de la empresa», añade el director técnico de Check Point en España y Portugal.

En 2017, CheckPoint, una compañía israelí especializada en ciberseguridad, descubrió una nueva vulnerabilidad en WhatsApp y Telegram, que permitía a los ciberdelincuentes tomar el control de las cuentas en estas plataformas sin que el usuario se diera cuenta.

Los expertos de la compañía consiguieron crear una imagen ficticia, que, en realidad, era un archivo con código HTML malicioso. Una vez se abría en el navegador, el delincuente podía tomar el control total de la cuenta del usuario y robarla, acceder al historial de mensajes y a la galería multimedia del usuario y, además, mandar mensajes en su nombre.

La vulnerabilidad fue descubierta en marzo de 2017 fue solucionada rápidamente por ambas compañías. En la actualidad se desconoce si ha ocurrido un agujero de seguridad similar. «A lo largo del último año hemos visto como una vulnerabilidad en la aplicación permitía a los ciberdelincuentes interceptar y manipular los mensajes enviados en un grupo o conversación privada. Más recientemente, se ha dado un nuevo caso en el que el que los atacantes podían instalar software de espionaje», señala Nieva.

El phising o la instalación de software de espionaje son solo dos caminos para hacerse con una cuenta de WhatsApp. En los últimos meses, el SIM Swapping se ha convertido en una vía de acceso importante a esta información. «Un ciberataque que permite hacerse con un duplicado de una tarjeta SIM y acceder a toda la información del usuario, como por ejemplo el código de verificación que se recibe a través de SMS», señala Eusebio Nieva.

Este tipo de ataques son «un puente de acceso a una gran cantidad de datos que, en el caso de que se produzca un hackeo de la cuenta, garantiza al cibercriminal la posibilidad de acceder al historial de conversaciones, listado de contactos telefónicos, etc», destaca. La información personal de la víctima queda al aire, pero también la de sus contactos, ya que «podría tener acceso a información del resto de contactos del teléfono a través de conversaciones al hacerse pasar por la víctima», añade.

Delitos informáticos

Según recoge el artículo 197 del Código Penal español: «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses».

Con esta norma en la mano y sumado al artículo 18 de la Constitución Española que protege la intimidad y el secreto de las comunicaciones, espiar el WhatsApp y revelar las conversaciones o imágenes es delito.