“Buzoneo”: Cómo evitar caer en la peligrosa técnica de hackeo de WhatsApp que afectó a los senadores Insulza y Moreira

Accedieron a los buzones de voz de los senadores José Miguel Insulza (PS) e Iván Moreira (UDI) y consiguieron entrar a sus cuentas, a través de un nuevo método de hackeo: el “buzoneo”. La técnica, que según la PDI está proliferando como una nueva metodología para conseguir los códigos de verificación de las víctimas, permite acceder a las cuentas del servicio de mensajería desde otros dispositivos. 

Insulza se dio cuenta a eso de las 14.30 horas del jueves 12 de enero. “No me entraban los mensajes, porque llegaban al teléfono de la persona que me lo había intervenido. Desde ahí, él podía mandar mensajes por mí”, relata el senador socialista. 

A Moreira le sucedió algo similar y ambos dieron cuenta de la situación a través de sus redes sociales. “Nadie está libre de crímenes cibernéticos como el hackeo de Whatsapp”, escribió Insulza en su Twitter. “Está funcionando la tecnología en la delincuencia y la señal que se da es descontrol de todo”, apuntó Moreira. 

Cada día puede ser peor esta funcionando la tecnología en la delincuencia y la señal que se da es descontrol de todo.
Informo que me hackearon mi whatsapp y están pidiendo dinero en mi nombre.
Hice la Denuncia junto a otros Senadores y la @PDI_CHILE esta cerca de los culpables.

— Iván Moreira Barros (@ivanmoreirab) January 12, 2023

Ambos realizaron denuncias en la PDI e Insulza acudió hasta la unidad del Cibercrimen de la institución. Ahí realizaron las pericias y pudieron “recapturar” su cuenta de WhatsApp. Con los antecedentes entregados, los investigadores lograron establecer que los delincuentes lo hackearon gracias a que accedieron a sus códigos de verificaciones, por un mensaje enviado a sus buzones de voz. 

Metodología en crecimiento

El subcomisario del cibercrimen, Julio Vargas, explica que las técnicas para entrar a cuentas de WhatsApp de personas, desde dispositivos móviles externos, han aumentado. “En primera instancia, tuvimos una gran ola de hackeos de WhatsApp, donde las personas eran engañadas para entregar el código de verificación con la forma tradicional, a través de los mensajes de texto”, dice. 

“Hoy por hoy, estos ciberdelincuentes han descubierto una nueva forma de hacerse del código de verificación”, agrega Vargas. Se trata de la otra vía mediante la cual la app puede enviar esta clave: el llamado telefónico. 

El suboficial explica que lo que hacen los delincuentes es que, al momento que intentan entrar en el WhatsApp de las víctimas, eligen que la app entregue el código por un llamado. Al mismo tiempo, llaman al número que está siendo suplantado, para que la llamada de WhatsApp sea derivada hacia el buzón de voz asociado al número telefónico. 

“El buzón de voz, como es una tecnología antigua, las personas lo dejan en el olvido y no recuerdan cambiar la contraseña de ingreso. En ese sentido, la plataforma de WhatsApp, al llamar para entregar el código de verificación, simplemente lo entrega cuando el teléfono está ocupado”, sostiene Vargas. Desde ahí, agrega, “estos delincuentes pueden rescatarlo -ocupando unos códigos que obviamente no voy a mencionar- y pueden obtener la clave de verificación para iniciar la sesión en otro dispositivo”. 

“Bola de nieve”

Cuando los delincuentes logran acceder a estas cuentas, tienen acceso a muchísima información y a las redes de los contactos más cercanos. Por ejemplo, con quiénes la víctima comparte grupos. 

Sobre si los hackeos a Moreira e Insulza están relacionados, el subcomisario Vargas señala que es parte de la investigación. Sin embargo, señala que este tipo de engaño informático produce un efecto de “bola de nieve”. “Cae una persona, y luego son sus contactos las víctimas siguientes”, dice. 

Juan Carlos Lara, director ejecutivo de Derechos Digitales, explica que los responsables del hackeo “acceden no sólo a la información de la persona, sino que además a toda su red de contactos. Así, pueden distinguir qué personas son parte de su círculo cercano, su familia, y así recopilar información utilizable para la extorsión”. 

Pero la filtración de datos puede llegar a ser aún más grave. Como el “buzoneo” les permite a los delincuentes administrar WhatsApp desde otro dispositivo, incluso tendrían la posibilidad de pasarse a otras plataformas. 

“Pueden tener acceso a todos los demás servicios y cuentas asociadas a ese número. Por ejemplo, pueden pedir códigos de verificación no solamente para WhatsApp, sino que a cualquier cuenta bancaria o de un servicio comercial, que me envían justamente a esa misma cuenta de WhatsApp vía mensajes”, advierte Lara. 

¿Cómo evitar este método de hackeo?

El funcionario del Cibercrimen de la PDI, Julio Vargas, explica algunas medidas para evitar el “buzoneo”. Lo primero, señala, es cambiar la clave del buzón de voz, que trae por defecto dos opciones según el dispositivo que corresponda: “1234” o “000”. “Como las personas ya no lo ocupan, porque prefieren la mensajería instantánea para ubicarse, nunca hacen este cambio”, explica. 

También se puede inhabilitar el buzón de voz. De esta forma, si delincuentes intentaran acceder al código de verificación dejando ocupado un número de teléfono, la llamada de la app que entrega la clave no quedaría registrada en ninguna parte. 

Para hacer esta maniobra, se puede marcar en el teléfono los dígitos “##002#” o solicitar directamente a tu compañía telefónica que desactive su funcionamiento.