Una oferta tentadora, una llamada de un número desconocido o hasta un amigo muy cercano pidiendo que le pagues un boleto.
También puede ser algún familiar que te pide un depósito bancario para ayudarle en una situación difícil. Son algunas de las situaciones más comunes que implican secuestros de cuentas de WhatsApp .
La popularidad de la aplicación para intercambiar mensajes más usada en todo el mundo atrae la atención de hackers y estafadores.
BBC News Brasil habló con especialistas en seguridad informática y policías que actúan en ese área para entender cómo son aplicados algunos de los fraudes más comunes en el país.
Estos fraudes también ocurren en otras partes de América Latina.
Los especialistas y el propio WhatsApp dan algunas claves para prevenirlos.
Chip robado
Una de las estafas más difíciles de identificar por las víctimas es el del chip perdido.
Eso se debe a que el estafador roba un número de teléfono de una persona, bloquea la línea original y se hace pasar por la víctima para extorsionar a sus contactos.
¿Pero cómo se hace eso?
Primero, un estafador compra un chip nuevo y llama a la operadora haciéndose pasar por el dueño del chip original.
Dice que perdió el celular o que se lo robaron. Así, la central reactiva el número antiguo con un nuevo chip. Esto le da al estafador acceso a los grupos y a la lista de contactos en WhatsApp.
Cuando un nuevo chip es activado, el original es bloqueado. Los delincuentes hacen eso sin necesidad de entrar en ningún dispositivo y corriendo poco riesgo.
Con el control del número, los estafadores entran en contacto con amigos y familiares de la víctima para extorsionarlos.
La mayor parte de las veces, el estafador dice que necesita dinero con urgencia. Entre otros motivos, suelen citar el pago de tratamientos médicos o la devolución de deudas.
Con una foto y el número de teléfono de una persona de confianza, muchos caen en ese fraude antes de que la víctima consiga identificarlo y avisar a sus conocidos. Algunas veces, el estafador trata de extorsionar al dueño del chip con devolverle el número.
Para evitar esta estafa. el especialista en seguridad de datos y director de innovación en la compañía de gestión en la nube Mandic Cloud, Bruno Almeida, dice que la solución es activar la verificación en dos pasos (como se explica abajo).
Con eso, la persona que activa un nuevo chip necesitará una segunda confirmación, por email o SMS para acceder a al aplicación de mensajería.
El especialista resalta que ese fraude solo es posible cuando los estafadores tienen acceso a datos personales de la víctima de alguna manera.
Para evitar que eso ocurra, indica que hay que ser precavidos a la hora de dar esa información en línea.
"Los funcionarios de las operadoras piden una serie de datos personales antes de activar un nuevo chip".
"Lo ideal es registrarse únicamente en sitios conocidos para evitar que tus datos caigan en las manos equivocadas. Información como el nombre, la dirección, el número de teléfono y el número de seguridad social son suficientes para cometer varios fraudes", le cuenta a BBC Brasil.
Pero además, el presidente de SaferNet Brasil, Thiago Tavares, dice que los delincuentes pueden obtener esta información de otras maneras.
"Utilizan los datos filtrados que encuentran en Internet".
"Hay varias bases de datos donde encontrarlos. El propio gobierno [de Brasil] ha sido objeto de esto: una fuga de datos en Río Grande do Norte expuso información personal de 92 millones de brasileños en octubre de 2019 ", explica el empresario.
Tavares también dice que esta estafa puede ser facilitada por empleados de compañías telefónicas involucrados en el esquema criminal.
Autenticación en dos pasos (pero evita los SMS)
La autenticación de dos factores (o en dos pasos) es una buena manera de tener los datos más protegidos.
Se trata de un capa extra de seguridad que garantiza que quienes tratan de tener acceso a una cuenta en línea son quienes afirman ser.
Esta disponible no solo en WhatsApp, sino en muchas otras aplicaciones.
"En WhatsApp, la opción se llama "verificación en dos pasos". Para acceder, debes ir a la configuración de tu aplicación, hacer clic en "cuenta" y luego "verificación en dos pasos", tanto en Android como en iOS.
La aplicación te pedirá que elijas una contraseña de seis dígitos, que te pedirán ocasionalmente.
Para habilitarlo, primero debes ingresar tu nombre de usuario. Luego debe proporcionar una segunda autenticación: una huella digital, un comando de voz, una contraseña o un código SMS a tu teléfono móvil.
El presidente de SaferNet, Thiago Tavares, advierte que es mejor evitar los SMS como factor de autenticación porque se puede piratear fácilmente.
"El SMS es vulnerable a los ataques porque está en una capa de una red creada en la década de 1970. Hay varios tutoriales que enseñan a romper esta protección. Lo más recomendable es registrar un correo electrónico", asegura.
El especialista considera que todos deberíamos usar protección adicional en todas las plataformas posibles, como Gmail, Facebook, Instagram y Twitter.
Recarga ilimitada
Más habitual en grupos públicos, este fraude ocurre cuando el usuario también quiere aprovechar algún tipo de ventaja.
Los estafadores ofrecen un servicio de recarga móvil ilimitado a un precio hasta 10 veces menor que el de mercado.
Algunas ofertas prometen planes telefónicos ilimitados por un año por una cantidad fija. También hay estafadores que ofrecen servicios de canales de TV abiertos y cerrados de todo el mundo.
Pero al descargar e instalar la aplicación, el usuario proporciona varios datos personales y, a veces, incluso permite que se rastree el dispositivo.
Eso permite que el malhechor tenga acceso al número de la tarjeta de crédito, a los contactos personales e incluso a los archivos de la víctima, como fotos y videos.
Con el material en la mano, puede comprar y luego usar archivos personales para extorsionar, por ejemplo, exigiendo dinero para no publicar fotos íntimas en Internet.
Bruno Almeida dice que lo primero que hay que hacer es habilitar el doble factor de autenticación para evitar el acceso al aparato.
"Hay que prestar atención a los detalles en los enlaces y aplicaciones en las que hacemos clic y que compartimos".
El experto dice que la aplicación suele funcionar con normalidad y que el usuario no nota ningún cambio, pero varios datos personales se comparten sin que él se dé cuenta a través de un virus.
"Algunos juegos envían muchas ventanas emergentes para que instales otras cosas. Si el usuario otorga un permiso, el hacker obtendrá información privilegiada", explica.
Sitio falso
Una de las estafas más antiguas en Internet se ha reinventado y convertido en favorita de los estafadores durante el Black Friday: el phishing.
Son técnicas utilizadas para engañar y robar datos del usuario. Una forma de hacerlo es crear sitios web falsos para que los clientes pasen datos sin saberlo a los estafadores.
En Brasil y otros países de Latinoamérica crean cadenas falsas y las distribuyen masivamente a través de WhatsApp.
En general, son promociones de electrodomésticos y productos vendidos a precios mucho más bajos de lo habitual.
Al hacer clic en el enlace con la supuesta promoción, el usuario es redirigido a un sitio idéntico al de los principales grandes almacenes. En la página, tiene la opción de ingresar sus datos y comprar el producto cuando estos datos finalmente se envían a los malos.
Tavares dice que cuando uno recibe estas ofertas por Internet debe ser paciente para verificar si es auténtica y si la empresa tiene una buena reputación.
"Lo primero es escribir manualmente el nombre del sitio en el navegador. El acceso directo a enlaces puede conducir a sitios falsos y engañar al comprador".
También dice que puedes confirmar en Google Street View si la dirección registrada de la empresa realmente existe y si corresponde con la dirección que se dice.
Pegasus
El software de espionaje Pegasus es una de las herramientas más elaboradas para entrar en dispositivos móviles sin la autorización de su propietario.
Creado en Israel, puede obtener acceso remoto a archivos, micrófonos e incluso celulares con cámara.
Hubo escándalos en México y más recientemente se asoció con actividades de espionaje -que niega la compañía- en Arabia Saudita al periodista Jamal Khashoggi , asesinado en octubre de 2018 en el consulado saudí en Estambul, Turquía.
Aunque Pegasus está involucrado en espionaje, no en estafas, hay vulnerabilidades en WhatsApp que podrían afectar a los usuarios.
Tavares dice que todavía no hay forma de protegerse de los ataques de este programa. Según él, eso se debe a que el dispositivo identificó una falla de seguridad en WhatsApp que los técnicos de la aplicación aún no han ubicado.
Sin embargo, Bruno Almeida cree que es posible bloquear el funcionamiento de otras aplicaciones espía.
"La mayoría solo tienen acceso a tu celular después de que tú mismo les des permiso. Por eso es importante que solo tengamos aplicaciones de compañías serias y permitamos el acceso a funciones que tengan sentido para su uso", señala.
Los expertos también recomiendan eliminar las aplicaciones que no reconoce tu celular.
Es posible que hayan sido instaladas en el dispositivo por alguien que tuvo acceso a él para autorizar algún tipo de espionaje.
Felipe Souza
BBC Mundo