La semana pasada, los medios de comunicación brasileños informaron sobre una estafa relacionada con WhatsApp en la que un atacante podría obtener acceso a una cuenta de WhatsApp activando el número de teléfono de destino en un dispositivo diferente para controlar a un estafador. Un informe detallado es disponible aquí (enlace en portugués). La estafa funciona de la siguiente manera:
- Un empleador del operador al que pertenece el número de teléfono de destino activaría este mismo número en un dispositivo diferente, en posesión del estafador.
- El estafador luego activa la cuenta de WhatsApp de la víctima en este nuevo teléfono, ya que ahora puede capturar el SMS utilizado para validar si un dispositivo dado tiene el control de un número dado.
- El estafador se pone en contacto con la familia y los amigos de la víctima, fingiendo que necesita dinero, solicitando una transferencia, este tipo de cosas.
Por supuesto, hay muchas fallas en el plan, ya que el propietario original del teléfono notaría que su dispositivo ya no funciona, y algunos estafadores ya han sido atrapados. También necesita la cooperación de un empleado portador deshonesto. También con la nueva característica de WhatsApp de autenticación en dos pasos, este ataque se puede prevenir durante 7 días.
Sin embargo, todos los medios de comunicación informaron que los estafadores tenían acceso a los siguientes datos:
- Grupos
- Contactos
- Historial de chats
Los dos primeros elementos me parecen razonables, lo que parece extraño es cómo los estafadores podrían tener acceso al historial de chat , ya que sabemos que WhatsApp solo almacena mensajes cifrados no entregados . Esto debe significar que el estafador está obteniendo el historial de la copia de seguridad de Google Drive . Sin embargo, el estafador solo tiene el poder de controlar el número de teléfono . ¿Cómo puede acceder a los archivos de conversación en Google simplemente controlando esto?
Creo que es muy improbable que esto sea cierto, porque mi cuenta de Google está protegida por una contraseña y un cheque adicional a través de la autenticación de dos pasos, que el estafador no tiene. ¿No se informa con exactitud esta historia?