Ojo con los códigos de verificación por WhatsApp: la policía alerta de una campaña de estafas

Los ciberataques han crecido durante la pandemia, aparejados al aumento del uso de servicios por Internet y las compras on-line. Agentes adscritos al grupo de delitos tecnológicos de la Policía Judicial de la Jefatura Superior de Policía de la Rioja alertan de las denuncias formuladas en las últimas semanas que dan cuenta de la recepción de un mensaje por WhatsApp con un código de verificación de entre 4 y 6 cifras. Este envío suele proceder de alguno de los contactos del usuario, según informa Europa Press, pero es en realidad una estaba por parte de criminales que se valen de la cuenta de un número conocido para suscitar la confianza de su víctima.

Explican los agentes que ese mensaje que se recibe por WhatsApp proviene de una víctima cuyo número ha sido previamente secuestrado precisamente por reenviar ese código a un contacto anterior. De esa forma, el criminal puede iniciar sesión con el número del contacto conocido y hacerse pasar por él para reenviar otros mensajes o recibir códigos de verificación vinculados a este servicio de mensajería instantánea que permiten autorizar operaciones o transferencias de forma fraudulenta. Si se cae en el engaño y se reenvía ese mensaje, será necesario volver a recuperar la cuenta. «Accede a tu WhatsApp y trata de verificar tu número de teléfono. Si aun así, no puedes verificarlo, significa que el criminal se ha hecho con tu cuenta, cambiándole la contraseña. No obstante, puedes volver a tratar de verificar tu cuenta de WhatsApp durante unos días posteriores. Si ya no fuera posible, contacta con el soporte de este servicio», recomiendan.

¿Qué es un sistema de autenticación en dos pasos?

Es una capa de seguridad extra que permite combinar dos mecanismos de autenticación para comprobar que una persona que va a realizar una determinada transacción u operación en Internet es quien dice ser. Por ello, por ejemplo, antes de realizar una transacción, una compra o un alta en un servicio o aplicación, además de requerirnos el ingreso de usuario y contraseña, solicita introducir ese segundo factor de autorización, como puede ser un pin, un código de seguridad enviado por SMS al teléfono móvil o el ingreso de un token (un código numérico o alfanumérico) generado aleatoriamente. Estos códigos alfanuméricos se reciben via SMS, no por WhatsApp, pero no por ello, las intenciones de los criminales pueden ser menos peligrosas.

Por todo ello, es importante tener en cuenta que si se recibe alguno de estos códigos sin haber realizado una operación previa es porque alguien ha aportado nuestro número de teléfono o lo está empleando, precisamente, para llevar a cabo alguna operación, por supuesto, de carácter fraudulento. Si el token se recibe por WhatsApp es que alguien quiere robar la cuenta con fines maliciosos de cualquier tipo. No obstante, si se acaba reenviando ese token por WhatsApp y la cuenta es hackeada, el ladrón no podrá acceder a los mensajes anteriores, por lo que la información personal está a salvo. No obstante, sí podrá hacerse pasar por la víctima en los grupos ya existentes.

Cómo evitar caer en las garras de los ciberdelincuentes

Es preciso seguir ciertas recomendaciones básicas para evitar ser engañado por los criminales.

• Nunca reenvíes información de carácter personal ni tampoco de supuestos códigos a un particular aunque seas requerido para ello.
• Realiza el envío del código de seguridad únicamente cuando hayas sido tú quien haya realizado la operación y así te lo indique el propio servicio.
• Siempre que un servicio te requiera introducir un código de verificación, te avisará previamente de que lo vas a recibir en tu teléfono móvil asociado.
• Fíjate bien en el teléfono que envía el código. Que sea el teléfono de un contacto de conocido no quiere decir que sea esa misma persona. Pueden haber usurpado su teléfono, WhatsApp o duplicado la SIM y estar utilizándote para dar de alta un servicio de forma fraudulenta.
• Llama al número de teléfono que te reenvía el código, por voz y confirma que no es un error. Cuando recibas ese mensaje de un teléfono conocido, ponte en contacto telefónico con esa persona y avísala de que podrían estar empleando su número para la comisión de delitos.
• Si te exigen que introduzcas el código porque en unos segundos o minutos dejará de tener validez, no lo hagas. Emplearán ese pretexto para que no pienses.
• Si, finalmente, por desconocimiento o error, has reenviado ese número, comprueba que no tienes operaciones fraudulentas en tu cuenta bancaria y contacta con tu banco para cancelar la realización de transferencias durante dos días. Igualmente, haz esa misma comprobación con tus tarjetas bancarias y habla con tu banco para evaluar su posible cancelación.
• En este caso, acude a la jefatura de policía o comisaría más próxima a denunciar.