Malgrat les actualitzacions de seguretat que constantment llancen els desenvolupadors, una recent alerta internacional exposa el greu problema de fons. Segons s'ha revelat, grups d'espionatge vinculats a Rússia estan aconseguint entrar en comptes de serveis de missatgeria sense trencar ni una sola clau. L'estratègia principal d'aquests atacants és l'ús d'enginyeria social perquè el mateix usuari els obri la porta mitjançant l'escaneig de codis QR o el lliurament de claus per descuit.
Una entrada silenciosa en format QR
El mètode utilitzat a WhatsApp és especialment efectiu perquè s'aprofita d'una funció que tots usem: la vinculació de dispositius. Els atacants envien enllaços o codis QR amb la promesa d'accés a grups exclusius o beneficis especials. En escanejar-los, l'usuari no està entrant en un xat, sinó donant permís a un ordinador remot perquè se sincronitzi amb el seu compte.
Un cop establerta aquesta connexió, els espies poden llegir no només el que escrius a partir d'aquest moment, sinó també revisar gran part del teu historial de missatges. Segons informes d'intel·ligència dels Països Baixos publicats per la revista Wired, aquesta tàctica s'utilitza per vigilar periodistes, militars i funcionaris, els quals moltes vegades ni tan sols noten la intrusió perquè la seva aplicació mòbil continua funcionant amb total normalitat.
Quan l'atac es dirigeix a altres aplicacions com Signal, els hackers canvien de tàctica i aposten per la por. Es fan passar per equips de suport tècnic o xats oficials que adverteixen sobre una "fuga de dades urgent". Moguda pel pànic, la víctima acaba entregant el seu codi de verificació SMS o el seu PIN de seguretat.
Amb aquestes dades, els delinqüents registren el compte en un nou telèfon i poden arribar a canviar el número associat, bloquejant completament el propietari original. El perill real és que, fins i tot si recuperes el compte, l'historial es veu intacte, cosa que genera una falsa sensació de seguretat mentre algú altre segueix la pista dels teus contactes i converses.
Reforços en la seguretat de Meta
Per combatre aquesta onada de fraus, almenys a WhatsApp, Meta està implementant noves capes de protecció que busquen detectar aquests enganys abans que ocorrin. Recentment, la companyia va anunciar la integració de sistemes automatitzats que analitzen comportaments sospitosos als xats, com l'enviament massiu d'enllaços d'origen dubtós o sol·licituds de codis de seguretat. Aquestes mesures busquen identificar els estafadors de forma proactiva, bloquejant els seus intents de suplantació abans que aconsegueixin enganyar l'usuari.
El cert és que, sigui quin sigui l'atac, hi ha una recomanació que es repeteix. Com bé va assenyalar el vicealmirall Peter Reesink de la intel·ligència neerlandesa, aquestes aplicacions no han de ser el canal per a informació extremadament sensible. La millor defensa continua sent la desconfiança: mai facis servir codis QR d'origen desconegut, no comparteixis codis rebuts per SMS i revisa sempre en els teus ajustos la llista de "Dispositius vinculats" per tancar qualsevol sessió sospitosa.