Te pueden robar la cuenta de WhatsApp… por tener Telegram instalado

Una ‘app’ maliciosa en tu teléfono podría acceder, gracias a los permisos que aceptas sin rechistar, a información suficiente como para que un atacante pueda robar tu cuenta de WhatsApp.

A los propietarios de un dispositivo con Android no les queda más remedio que aceptar todos los permisos que les solicita cada app que desean instalarse en su smartphone o tableta. Sin posibilidad de dar marcha atrás ni de aceptar tan solo unos cuantos, y mientras Google tiene ya entre manos un nuevo sistema de permisos más seguro, lo cierto es que estos siguen siendo un riesgo para los usuarios.

La falta de seguridad es tal que un ciberdelincuente con los conocimientos necesarios y  ganas de buscarte las cosquillas podría llegar a robarte tu cuenta de WhatsApp. Para ello solo necesitaría colar una aplicación maliciosa en tu teléfono y que, además, tengas instalado Telegram.

En realidad, este sigiloso robo podría llevarse a cabo a través de cualquier aplicación que utilice el número de teléfono para identificar al usuario y configurar su cuenta. Sin embargo, el hecho de que uno de esos colaboradores necesarios para el hurto pueda ser Telegram, el servicio de mensajería instantánea que lleva la seguridad por bandera, no deja de resultar paradójico (y útil para el atacante, porque muchos usan la app de mensajería de origen ruso como plan B cuando se cae WhatsApp).

www.tera2consulting.com

La receta

Para llevar a cabo el robo de una cuenta de WhatsApp, el ciberdelincuente necesita dos cosas: el número de teléfono y el código de confirmación que WhatsApp envía en un SMS. Tal y como aclara el experto en ciberseguridad Chema Alonso, con estos ingredientes el atacante no podría espiar las conversaciones que hemos mantenido hasta el momento, sino que podría hacerse con nuestra cuenta de WhatsApp y recibiría todos los mensajes que nos lleguen a partir de ese momento.

Para conseguir lo necesario a través de una aplicación maliciosa instalada en tu móvil (cualquiera valdría; las linternas no son un buen ejemplo a seguir, sin ir más lejos), dicha app tendría que solicitar al usuario tres permisos: uno para conocer qué aplicaciones tienen cuentas configuradas en el dispositivo Android (como Telegram o Facebook, por ejemplo), otro para poder leer el contenido de los SMS y uno más para poder acceder a internet y compartir con un servidor externo la información necesaria.

Al aceptarlos, el usuario estaría vendiendo su alma al diablo y poniendo a disposición del atacante su preciada cuenta de WhatsApp. Es ahí donde Telegram entra en juego. 

El servicio de mensajería instantánea ultraseguro creado por los hermanos Durov permitirá conocer tu número de teléfono.

Si bien con el primero de los citados permisos no se podría acceder hasta el número de teléfono asociado a WhatsApp (la aplicación propiedad de Facebook lo oculta), Telegram sí que permite llegar hasta él y suele ser el mismo.

Con el número de teléfono en su poder, el atacante solo tendría que hacer una cosa más: solicitar la recuperación de la cuenta de WhatsApp para que el teléfono de la víctima reciba un SMS con el código que, gracias al segundo permiso mencionado, la aplicación maliciosa podrá leer.

El tercer permiso, el de acceso a internet, será la guinda del pastel. La appmaliciosa  podrá compartir con los servidores del atacante toda la información recabada. Así, con el número de teléfono y el código de recuperación de WhatsApp en sus manos, el ciberdelincuente no tendría que hacer mucho más para robar una cuenta de WhatsApp.

Curiosamente, alrededor de unas 50.000 aplicaciones de Google Play tienen permisos suficientes como para obtener los datos necesarios. En combinación con Telegram (o casi cualquier app que utilice el número de teléfono como identificador del usuario), dichas aplicaciones podrían servir para robarnos nada más y nada menos que la cuenta de WhatsApp. Piénsatelo la próxima vez antes de aceptar permisos sin rechistar.

 

Fuente:  Álvaro Hernández.