Un nuevo fraude en WhatsApp está robando las cuentas de los autónomos para atacar a sus clientes

1. Los delincuentes se hacen pasar por el servicio técnico de la app para engañar a los usuarios
2. WhatsApp Business es un blanco perfecto para los estafadores
   • Estas son las tácticas más comunes utilizadas en los fraudes
   • Cómo protegerse: medidas imprescindibles para los negocios en WhatsApp
   • Las pautas básicas a seguir del Incibe para quienes son víctimas de un fraude de suplantación

El uso de WhatsApp en los negocios ha experimentado un crecimiento exponencial en los últimos años, convirtiéndose en una herramienta clave para autónomos y pequeños negocios en España. Al facilitar la atención al cliente en tiempo real, la gestión de pedidos y reservas, el envío de promociones, el cierre de ventas, y el seguimiento postventa, entre otros.

Además, permite recopilar reseñas, organizar la comunicación interna del equipo, recibir pagos, y automatizar respuestas a través de WhatsApp Business, optimizando así la gestión y mejorando la relación con los clientes de manera eficiente y cercana.

Sin embargo, este auge no ha pasado desapercibido para los ciberdelincuentes, que han desarrollado nuevas formas de fraude que afectan a los usuarios profesionales con negocios. Según advirtió el Instituto Nacional de Ciberseguridad (Incibe) hace unos días, se ha detectado una nueva variante del robo de cuentas de WhatsApp, que emplea una técnica de suplantación de identidad.

Los delincuentes se hacen pasar por el servicio técnico de WhatsApp para engañar a los usuarios

En particular, como ha informado esta organización, los estafadores se hacen pasar por el servicio técnico de la app de Meta para engañar a los usuarios y obtener acceso a sus cuentas. En este tipo de estafa, susceptible de afectar a los autónomos y negocios, los cibercriminales contactan a la víctima en una llamada, identificándose como el soporte de WhatsApp, y alegan que ha habido un supuesto problema de seguridad en la cuenta o que se están realizando actividades sospechosas.

Con este pretexto, solicitan al usuario que les envíe el código de verificación que la propia plataforma genera y envía por SMS para validar la identidad en caso de inicio de sesión en un nuevo dispositivo. Sin embargo, el mensaje recibido realmente es el código que el propio delincuente ha solicitado al intentar acceder a la cuenta desde un teléfono distinto, y una vez que obtiene este dato, logra tomar el control total de la cuenta.

Lo preocupante de esta modalidad de fraude es que muchos usuarios caen en la trampa al creer que están interactuando con el servicio oficial de WhatsApp. El Incibe resaltó que la suplantación de identidad se apoya en la creación de mensajes convincentes que imitan la comunicación habitual de la aplicación. Además, los delincuentes, conscientes de la creciente preocupación por la ciberseguridad en los negocios, apelan al miedo de los propietarios de cuentas empresariales, lo que aumenta la posibilidad de que las víctimas actúen sin dudar.

WhatsApp Business es un blanco perfecto para los estafadores, afirman los expertos en ciberseguridad

Con este fraude de suplantación, WhatsApp Business, concebido como una herramienta para facilitar la comunicación entre los negocios y sus clientes, se convierte en un objetivo suculento para los estafadores. A diferencia de los perfiles personales, las cuentas de WhatsApp Business manejan un mayor volumen de interacciones y, en muchos casos, información sensible, como datos bancarios.

Como explicó a este diario Josep Albors, director de investigación y concienciación de ESET España, “el atractivo para los ciberdelincuentes radica en que los números de teléfono son la puerta de entrada a una variedad de esquemas fraudulentos. Estos ataques son rentables y escalables, lo que hace que, con una inversión mínima, un solo intento exitoso pueda cubrir los costes de toda una operación criminal”, explicó el experto.

Una vez que el ciberdelincuente obtiene el control de la cuenta, no sólo bloquea el acceso al propietario legítimo, sino que también puede aprovechar el canal de confianza con los clientes y proveedores para solicitar pagos falsos o enviar enlaces maliciosos.

Otro factor que convierte a WhatsApp Business en un blanco perfecto es la percepción de legitimidad que confiere la aplicación. Al ser un canal de comunicación aceptado y utilizado ampliamente en el ámbito profesional, los clientes y proveedores confían en que cualquier mensaje que reciban a través de él proviene directamente de la empresa. Esta confianza es aprovechada por los estafadores, que suplantan a las empresas para llevar a cabo fraudes con la apariencia de operaciones legítimas.

Estas son las tácticas más comunes utilizadas en los fraudes por WhatsApp

Los ciberdelincuentes emplean una variedad de tácticas para llevar a cabo fraudes a través de WhatsApp, aprovechando la confianza y la inmediatez que caracteriza a la comunicación en esta plataforma. Estas estrategias se han sofisticado con el tiempo, pero estas son las más comunes:

• Suplantación de identidad. Además de hacerse pasar por el servicio de atención de WhatsApp, también hay casos en que los estafadores usan perfiles de contactos conocidos, como un cliente o un familiar, o de instituciones, como la Agencia Tributaria.
   
• Falsos mensajes de verificación. Los delincuentes también envían mensajes que aparentan legitimidad, alertando sobre un problema en la cuenta y solicitando que se proporcione un código de verificación.
   
• Ofertas tentadoras. Establecen contacto mediante anuncios falsos de productos o servicios a precios irresistibles que, tras pagar por adelantado, nunca llegan.
   
• Phishing. Dirigir a las víctimas a páginas web que imitan las de bancos o plataformas de pago para recopilar contraseñas.
   
• Extorsión. En algunos casos, los delincuentes utilizan la amenaza de difundir información sensible o comprometedora (falsa) si no se cumple con un pago.

Cómo protegerse: medidas de seguridad para los negocios en WhatsApp

Desde el propio WhatsApp, han actualizado sus recomendaciones para que sus usuarios protejan su comunicación y datos sensibles:

• Activar la verificación en dos pasos. Esta función añade una capa adicional de seguridad a la cuenta. Al habilitar la verificación en dos pasos, se requiere que se introduzca un código de acceso además del código de verificación enviado por SMS.
   
• Desconfiar de mensajes sospechosos. Es preferible mantener un alto grado de escepticismo ante mensajes que soliciten información personal, códigos de verificación o pagos urgentes, especialmente si provienen de contactos desconocidos. En caso de duda, se recomienda verificar la identidad del remitente a través de un canal alternativo antes de tomar cualquier acción.
   
• No compartir información sensible. En la medida de lo posible, se debe evitar compartir información confidencial, como contraseñas, datos bancarios o detalles de clientes, a través de WhatsApp. Aunque la plataforma utiliza cifrado de extremo a extremo, no se puede garantizar que todos los dispositivos estén libres de malware o vulnerabilidades que puedan comprometer la seguridad.
   
• Mantener actualizado el software y la aplicación. Es esencial asegurarse de que tanto el sistema operativo del dispositivo como la aplicación de WhatsApp Business estén siempre actualizados. Las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades y fortalecen la protección contra amenazas cibernéticas.
   
• Utilizar soluciones de ciberseguridad. Herramientas como antivirus, firewalls y sistemas de detección de intrusos pueden ayudar a mitigar el riesgo de ataques.

Las pautas básicas a seguir del Incibe para quienes son víctimas de un fraude de suplantación

Si se da el caso de caer en la trampa de los estafadores en WhatsApp Business, es fundamental actuar de manera rápida para mitigar los posibles daños. Estas son las pautas básicas a seguir tras ser víctima de un fraude de suplantación, según las recomendaciones de Incibe:

• Tratar de recuperar la cuenta. WhatsApp incluye un proceso de recuperación a través de la propia aplicación. Esto implica normalmente verificar la identidad mediante un código enviado al número asociado con la cuenta.
   
• Informar a los contactos. Es esencial notificar a todos los contactos sobre la suplantación, advirtiéndoles de que no hagan caso de ninguna solicitud que puedan recibir desde la cuenta comprometida.
   
• Contactar con el soporte de WhatsApp. Mediante el correo electrónico habilitado para este propósito (support@whatsapp.com) y explicarles la situación.
   
• Analizar la seguridad del dispositivo. Esto incluye la verificación de software antivirus y la eliminación de cualquier aplicación sospechosa que pueda haber sido instalada.

• Cambiar contraseñas. Las que coincidan con la cuenta de WhatsApp, si se utiliza la misma en otros servicios, y cualquier otra que se haya compartido en una conversación.
   
• Tomar medidas legales. Se puede presentar una denuncia a las autoridades, como la Guardia Civil y la Policía Nacional. Estas instituciones pueden ofrecer orientación y asistencia, además de contribuir a la investigación.

Actuar con rapidez tras ser víctima de un fraude puede suponer una diferencia significativa, pero la prevención y la preparación son claves. “Si un estafador logra comprometer tu número, podría eludir las medidas de seguridad, incluida la autenticación en dos factores (2FA), y hacerse pasar por ti para engañar a tus contactos o incluso a tu empleador. Por ello, dado que un número de teléfono puede ser la puerta de entrada para diferentes ciberamenazas, es fundamental mantenerlo tan privado como cualquier otro identificador único”, concluyó Josep Albors.