WhatsApp vol aturar el robatori de comptes amb un doble codi de verificació

El modus operandi és el mateix des de fa anys, però els robatoris de comptes de WhatsApp continuen vigents a tot el món. A Catalunya se'n té constància, com a mínim, des del 2018. Amb els anys, el frau ha anat a més.

Des de l'inici de la pandèmia, a causa de l'impuls digitalitzador que va comportar el confinament, el robatori de comptes de WhatsApp es va convertir en una autèntica onada que l'aplicació de missatgeria propietat de Meta, encara avui, no ha solucionat. Això sí: tot apunta que hi està treballant.

Ho ha avançat aquest divendres WABetaInfo, el lloc web especialitzat a informar sobre les novetats que WhatsApp té en desenvolupament. Conscients que el mètode de verificació actual per SMS no és suficient, els responsables del servei de missatgeria preparen un nou protocol de verificació.

En el nou procés, que ja estan provant, un cop introduït correctament el primer codi de sis dígits rebut per SMS, WhatsApp envia un missatge al propietari on l'adverteix que algú està intentant entrar al seu compte des d'un altre dispositiu. A part del missatge d'alerta, WhatsApp aleshores requereix que s'introdueixi un segon codi de sis dígits que, a més, no es rebrà immediatament: per seguretat, s'haurà d'esperar que finalitzi un temporitzador, per prudència.

Actualment, WhatsApp compta amb un mètode de verificació en dos passos, opcional, que requereix memoritzar un codi personal de sis dígits. Per ajudar a recordar-lo, WhatsApp requereix que s'introdueixi de tant en tant i és imprescindible sempre que s'instal·la WhatsApp en un telèfon nou (WhatsApp).

Com es roba un compte de WhatsApp

Una persona intenta entrar al teu compte de WhatsApp des d'un altre dispositiu, tal com faries tu mateix si estrenessis un telèfon nou. Per aconseguir-ho, baixa l'app de missatgeria i a la pantalla de registre hi tecleja el teu número de telèfon.

El protocol de WhatsApp, per confirmar que realment li pertany el número que està intentant registrar en un telèfon nou, és enviar un codi de verificació per missatge SMS que rebrà la persona que, efectivament, en sigui propietària o tingui activa la targeta SIM associada a aquell número de telèfon.

Si la persona que està intentant entrar al teu compte de WhatsApp obté el codi de verificació, l'introdueix a la pàgina de registre i es completa el frau: el compte de WhatsApp ha passat a les seves mans.

La verificació per SMS, vulnerable

El doble mètode d'autenticació en què treballa WhatsApp pretén complementar la seguretat d'un procés de verificació per SMS que, a WhatsApp i en molts altres serveis, ha demostrat ser vulnerable.

Per a algú amb males intencions, existeixen diversos mètodes per aconseguir el codi de verificació que s'envia per SMS: des d'estafes per "SIM swapping", és a dir, la clonació no autoritzada de la targeta SIM, fins a mètodes d'enginyeria social que busquen enganyar el propietari del número de telèfon perquè enviï voluntàriament aquest codi.

L'engany es pot produir a través d'un correu electrònic fals (phishing) on l'atacant es pot fer passar per un treballador de WhatsApp; un missatge SMS amb un enllaç maliciós (smishing) que acaba demanant, amb qualsevol excusa, que s'introdueixi el codi de verificació rebut o, fins i tot, un contacte de WhatsApp a qui han robat prèviament el compte i que assegura a la víctima que necessita que reenviï aquell codi que hauria rebut per error.

Els experts en ciberseguretat ho tenen clar i el consell és sempre el mateix: mai s'ha d'enviar cap tipus de codi a ningú, ni tan sols a amics o familiars, a través de xats de missatgeria.

Un dels teus contactes t'envia un #WhatsApp i et demana que li passis un SMS que rebràs en breu on hi ha un codi. NO PIQUIS-NO L'HI PASSIS et volen robar el teu compte pic.twitter.com/uTPhbFCXcA

— Mossos (@mossos) October 19, 2018

Però, a vegades, ni tan sols fa falta un descuit de la víctima perquè li robin el compte. De fet, el procés de verificació per SMS està en desús pels múltiples problemes de seguretat que ha demostrat tenir.

El cas de Twitter va ser el més sonat: el seu fundador, Jack Dorsey, va perdre el control del seu compte després que algú li va clonar la targeta SIM, es va verificar amb el número de telèfon i va començar a tuitejar en nom seu.

El temps acabarà demostrant si el doble mètode de verificació que prova WhatsApp compleix la seva funció i acaba impedint els robatoris de comptes, però, a priori, els especialistes asseguren que, com a mínim, complicarà molt que siguin tan habituals com actualment.