16 de enero 2022
AA
Más de ocho días después de que las cuentas de WhatsApp de CONFIDENCIAL y Bacanalnica fueran usurpadas por desconocidos que las usaron para distribuir material pornográfico y propaganda del gobernante Frente Sandinista, y el intento fallido contra la cuenta de la plataforma Artículo 66, la empresa de telefonía Tigo, en Nicaragua, que administra estos números, no se ha pronunciado públicamente sobre el caso, mientras persisten las dudas sobre cómo accedieron a los SMS de verificación de esos números. Junto con el secuestro de estas cuentas, también se reveló la usurpación de la cuenta de Canal 10, ocurrida meses atrás, con un número de la empresa Claro, que tampoco ha dado una respuesta.
De forma directa, los departamentos de Atención a Empresas y de Producto y Tecnología de Tigo Nicaragua establecieron contacto con CONFIDENCIAL, asegurando escuetamente que realizaron una investigación del caso y que no encontraron evidencia de vulnerabilidad de la seguridad de la telefonía.
Sin embargo, especialistas nacionales e internacionales en temas de seguridad, consultados por CONFIDENCIAL, no descartan que quienes dirigieron el ataque contra las cuentas de los medios de comunicación tuvieron acceso a información privada, como los SMS o buzones de voz.
Sin embargo, las vulnerabilidades también están presentes en la aplicación de mensajería WhatsApp, a pesar de su seguridad y cifrado de mensajes, que fueron explotadas por las personas con conocimientos de informática para el secuestro de las cuentas.
El pasado seis de enero, CONFIDENCIAL suspendió el envío de sus Alertas Informativas a través de WhatsApp luego que su número fuera vulnerado, con intentos varios que concluyeron con la usurpación de la cuenta.
“El hacker tuvo acceso a los SMS de verificación de WhatsApp, estableció nuevos códigos, cambió la cuenta de CONFIDENCIAL de WhatsApp Business (configurada para empresas) a WhatsApp Messenger (usada por personas naturales) y modificó la biografía de la cuenta, para presumir su robo. En la cuenta donde antes se invitaba a suscribirse a las Alertas Informativas, el usurpador colocó el mensaje: “Número robado por el más poderoso de Nicaragua. Atentamente: Soy Inmortal”, en letras mayúsculas, seguido de una bandera de Nicaragua”, denunció CONFIDENCIAL en una nota a sus lectores.
De igual forma, el blog de sátira Bacanalnica denunció un día después que su cuenta fue vulnerada, su número fue activado en otro dispositivo celular y la cuenta de WhatsApp fue migrada.
“Se robaron el número y crearon una nueva cuenta de WhatsApp con el mismo número”, explicó el autor del blog, Manuel Díaz. Según el bloguero, también especialista en marketing y seguridad digital, logró establecer contacto con el usurpador de la cuenta, quien le aseguró que sí tuvo acceso a los contactos y le envió capturas de pantalla para comprobarlo, aunque el atacante no habría tenido acceso al contenido de la mensajería.
Especialistas en temas de seguridad y aficionados a la tecnología coincidieron en que pudo tratarse de varios ataques simultáneos a los medios, que también habría escalado a otras personas que no denunciaron públicamente la usurpación.
El intento de ataque contra Artículo 66
La plataforma Artículo 66, también fue afectada y denunció que intentaron vulnerar su cuenta de WhatsApp. En una nota a sus lectores afirmaron que tenían activada la autenticación en dos pasos, y solo sufrieron una suspensión temporal de la cuenta por nueve horas, retomando el control de la cuenta días después.
Álvaro Navarro, director de Artículo 66, dijo a CONFIDENCIAL que “este fue el primer (intento de ingresar a la cuenta), que nos reportó WhatsApp, pero para que lo bloquearan (el atacante) tuvo que hacer varios”.
Según Navarro, contar con la activación de la autenticación en dos pasos que permite WhatsApp fue una de las razones por las que la cuenta de Artículo 66 no fue vulnerada.
Sin embargo, Díaz denunció desde su blog que ellos también tenían activado este paso adicional de seguridad y de cualquier forma su cuenta fue usurpada. Igualmente ocurrió con CONFIDENCIAL, que tenía activada la autenticación con un correo electrónico corporativo, que fue cambiado por el atacante.
Vulnerabilidades de WhatsApp
Un especialista nicaragüense en temas de seguridad, que solicitó omitir su nombre por temor a represalias, explicó a CONFIDENCIAL que WhatsApp tiene muchas vulnerabilidades que permiten que terceras personas accedan a las cuentas que, en teoría, son privadas.
Una forma de explotar esas vulnerabilidades está en la autenticación en dos pasos que ofrece la aplicación. Este procedimiento o 2FA, por sus siglas en inglés, se refiere a una capa de seguridad extra que los usuarios pueden agregar a una cuenta de WhatsApp o de correo electrónico.
“Según dos casos anteriores, que he visto, y desde mi experiencia, lo que ocurre es que cuando uno activa la 2FA, WhatsApp te ofrece la opción de colocar un correo de recuperación en caso de que olvides esos códigos. Si saltas ese paso, al intentar instalar la aplicación en otro teléfono y olvidaste los códigos, WhatsApp te ofrece la opción de ‘instalar de todas formas’ bajo la condición de perder todo el respaldo de mensajes y contactos que has respaldado en dicha cuenta”, detalló el especialista.
CONFIDENCIAL siguió todos los pasos establecidos por el área de soporte de Whatsapp, con sus procesos correspondientes, y escaló la denuncia a través de organizaciones internacionales especializadas en seguridad digital. Aún así, la respuesta de la aplicación tomó más de una semana. Actualmente, la cuenta de Whatsapp de CONFIDENCIAL fue dada de baja, una acción a la que también contribuyeron los lectores siguiendo la recomendación de reportar y bloquear el número tras los mensajes obscenos.
El especialista agregó que la otra vulnerabilidad de la aplicación —conocida desde hace casi diez años en Internet— se le llama popularmente “buzoneo”. Consiste en que cuando el “hacker” intenta acceder a tu cuenta desde otro teléfono, y la cuenta le pide que verifique el código de seguridad, este escoge la opción de hacerlo mediante llamada telefónica que llega directamente al buzón de voz del número en cuestión.
“Escriben al número de WhatsApp de Tigo y ahí ellos solicitan un cambio de pin mediante ‘el bot Lisa’ que les permite cambiar el pin de mi buzón de voz simplemente brindándole algunas respuestas (información personal) y posteriormente te pasa supuestamente con un operador de Tigo que accede a cambiarte el número de buzón de voz. (...) Ellos con un programa especializado, logran entrar a mi buzón, meten el pin de confirmación y logran escuchar el código”, explicó un aficionado a la tecnología que ha sido víctima de este método.
Ley de Ciberdelitos y colaborador interno
Los especialistas también señalan que con la Ley Especial de Ciberdelitos se estaría dando acceso a la información de los usuarios a funcionarios políticos del Gobierno, que operan desde las instituciones autorizadas.
La Ley Especial de Ciberdelitos, aprobada por la Asamblea orteguista en octubre de 2020, ordena a las empresas de telefonía a guardar por un período de un año, los registros de conversaciones telefónicas, mensajes de texto, números de series de equipos asignados e incluso datos de geolocalización de los usuarios.
Aunque la misma ley determina que esta información solo podrá ser proporcionada a la Policía Nacional, brazo represivo del régimen, y al Ministerio Público, encargado de fabricar delitos contra opositores, los especialistas no descartan que se pueda estar facilitando (o filtrando) información de los usuarios a operadores políticos.
“Los atacantes pueden haber recibido información con el consentimiento de la compañía, no necesariamente a nivel de institución, pero sí requería colaboración. En resumen, para que te roben tu WhatsApp, el atacante debe tener buenos conocimientos técnicos para acceder al sistema de la compañía sin su autorización, o contar con la colaboración de alguien dentro de la misma, recordemos que incluso si así fuera, la normativa de preservación de datos obliga a las compañías a brindar la información de ‘instituciones estatales’ que lo requieran”, mencionó el especialista.
Según ella, la misma Ley de Ciberdelitos permite que las empresas de telefonía puedan brindar información sobre los terminales en que se registraron los números de los medios de comunicación, y facilitar así el entendimiento de lo que ocurrió en los días que se intentó vulnerar la seguridad de esas cuentas.
“Esto evidencia una preocupación que ya rondaba en el ambiente. Primero que no hay tal privacidad de los datos para el cliente y aunque legalmente los números no pertenecen a los usuarios, sino a la compañía, el cliente necesita garantía del buen uso de los datos”, agregó.
CONFIDENCIAL intentó obtener una versión oficial de lo ocurrido con la empresa Tigo, pero en la oficina de comunicaciones no respondieron ninguna de nuestras solicitudes.
¿Cómo proteger tu cuenta de WhatsApp?
A pesar de todo, los usuarios pueden tomar algunas medidas para evitar que su información sea vulnerada, al menos, lo que corresponde a activar las barreras de seguridad de manera personal, valoran los especialistas.
“A finales del año pasado supe de un par de activistas a quienes lograron robarle cuentas aunque sus cuentas tenían 2FA”, dijo tras destacar que hay que conocer las opciones de seguridad que brindan las aplicaciones y no subestimarlas, sino configurarlas correctamente. Además, indicó que en el caso de periodistas, activistas y defensores de derechos humanos hay entidades internacionales de apoyo, como Access Now, que junto a Citizen Lab descubrió recientemente el ataque con el programa de espionaje Pegasus contra 35 periodistas de El Salvador, entre ellos 22 del medio digital El Faro.
Entre las medidas que se recomienda para los usuarios también está no saltarse la opción de que se envíe mediante correo electrónico la clave de seguridad y optar por esta en lugar de las llamadas y SMS abiertos, es decir mediante la línea de teléfono, que puede estar comprometida.
