Alerta por la estafa de la "quinta dosis" que roba cuentas de WhatsApp

Una nueva estafa circula por WhatsApp. En realidad, la técnica es siempre la misma, pero sus ropajes van cambiando. Esta vez, la excusa de una “quinta dosis” de vacunación contra el Covid-19 ya se cobró varias víctimas: los delincuentes roban nuestra cuenta y comienzan a pedirles dinero a nuestros contactos. Más de uno cae.
Se trata de una forma más de lo que se conoce como “sim swapping”, o intercambio de tarjeta SIM, el chip que porta la línea telefónica. Los delincuentes se hacen pasar por entidades oficiales, como el Ministerio de Salud, para pedir el código que WhatsApp manda por SMS para activarse. Una vez que la víctima lo entrega, pierde acceso a su cuenta. Y ahí comienzan a intentar estafar contactos.
Esta modalidad ya tiene varios años dando vueltas, pero la versión de "la quinta dosis" de vacunación contra el coronavirus es reciente. Se trata de una aplicación para determinados casos particulares (personas mayores de 50 años que recibieron como primeras 2 dosis la vacuna Sinopharm y a las personas con inmunocompromiso, en principio).
Los estafadores llaman a sus víctimas y les dicen que tienen turno para la quinta dosis, pero que para poder guardarse el turno, deben comunicar un código que les llegará por SMS.
El problema es que ese código no tiene nada que ver con la vacuna, sino que es el que envía WhatsApp cuando introducimos una tarjeta SIM con nuestra línea en un nuevo dispositivo.
Las tarjetas SIM son circuitos integrados que almacenan el número de teléfono, junto a otros datos sensibles como la identidad de la línea a nivel internacional y un código de serie único. Son transferibles entre dispositivos: con solo retirar la tarjeta y colocarla en otro teléfono se traslada la línea telefónica y los datos personales.
Los especialistas en seguridad informática afirman que los delincuentes utilizan esta técnica para duplicar la tarjeta SIM del celular de sus víctimas. Así, pueden acceder a toda su información personal y, sobre todo, utilizarlas en la verificación por medio del móvil (SMS) que suelen pedir las aplicaciones (de hecho, algunas compañías como Mercado Libre están migrando a otro tipo de verificaciones por lo inseguro que es este método).
El problema parte de la ingeniería social: el delincuente utiliza una filtración de datos personales (lo que en la jerga se conoce como data leak) para llamar a Personal, Movistar o Claro, y pedir una nueva tarjeta SIM para retirar (pickup). Esta tarjeta SIM porta la línea de la víctima.
Una vez que tienen la SIM, los delincuentes contactan a la víctima, también en la línea de la ingeniería social: consiste en el engaño a través de la persuasión y manipulación psicológica, como así también aprovecharse del error humano.
El código que solicitan es el que WhatsApp Envía por SMS para poder activar la cuenta: cuando lo pasamos, ellos lo activan en su dispositivo, cierran todas las sesiones de WhatsApp Web y activan la verificación en dos pasos de la aplicación. De esa manera, quedamos bloqueados para poder recuperar nuestra cuenta. Para no caer en esta estafa hay dos estrategias infalibles.
Cómo protegerse: ponerle clave a WhatsApp
WhatsApp tiene lo que se llama "autenticación de dos pasos". Esto es un paso extra para poder iniciar sesión en WhatsApp. Algo que, si lo tenemos activado, es imposible que entren a nuestra cuenta, salvo que también entreguemos este código.
La diferencia con los SMS es que en este caso la alarma en la víctima puede prenderse de manera más rápida: no tendría sentido entregar la clave de WhatsApp a un tercero.
Es un paso más de seguridad ya que si se instala la aplicación en un nuevo dispositivo, se solicitará el código de seis dígitos que se ha establecido, así como la verificación correspondiente. Y ese dato sólo es conocido por el usuario legítimo.

Pocos saben que más allá de la clave del teléfono, la tarjeta SIM también puede ser protegida por un pin de 4 números.
Una tarjeta SIM generalmente viene con un PIN predeterminado, pero no se usa para fines de bloqueo. La tarjeta SIM también tiene una clave de desbloqueo de PIN (PUK) asociada, que se suele usar solo cuando se compra la línea por primera vez.
Pero la tarjeta SIM puede tener clave para cada vez que se prenda el teléfono. De este modo, si un estafador pide una SIM con nuestro teléfono y la inserta en su dispositivo, tendrá que poner la clave que nosotros hayamos elegido. De esta manera, no podrá entrar para acceder a nuestras cuentas. Para hacer esto hay que acceder a las opciones de seguridad del dispositivo.
Una vez allí hay que activar las opciones avanzadas, donde desplegará la opción de bloqueo de SIM. Allí se puede cambiar el pin. Es tan simple como elegir un número que recordemos y listo. Como consejo, es muy importante no olvidar este pin, siendo una buena idea anotarlo en un papel y dejarlo en un lugar seguro en casa.