La exposición de 3.500 millones de datos de WhatsApp deja a millones de estadounidenses expuestos a estafas
Autor: Adam Collins
Un nuevo estudio de la Universidad de Viena confirma algo que todos los usuarios estadounidenses de WhatsApp esperaban que nunca ocurriera. Los delincuentes ya pueden identificar qué números de teléfono están registrados activamente en WhatsApp y compararlos con fotos de perfil públicas y estados de About. Eso supone 137 millones de cuentas estadounidenses confirmadas, de repente mapeadas, etiquetadas y listas para ser explotadas.
Y cuando el 44 por ciento de esas cuentas muestran una foto de perfil pública y el 33 por ciento un texto "Acerca de" público, los datos se convierten en una mina de oro para los estafadores. Un número válido, una cara y una pizca de información personal es todo lo que un delincuente necesita para lanzar sofisticados ataques de ingeniería social.
A continuación se expone lo que esto significa hoy para los usuarios estadounidenses.
En pocas palabras:
- Se confirmó que 137 millones de números de WhatsApp estadounidenses estaban activos
- El 44 por ciento mostraba fotos de perfil públicas y el 33 por ciento tenía mensajes de texto públicos.
- Estos datos alimentan el intercambio de tarjetas SIM, las estafas de suplantación de identidad y el phishing selectivo.
- También permite la vigilancia y la microfocalización política.
- Los usuarios de EE.UU. deberían proteger WhatsApp, bloquear los permisos de la SIM y ocultar la información pública del perfil
¿Qué riesgos financieros genera esta filtración?
El intercambio de tarjetas SIM ya es un problema multimillonario en Estados Unidos. Este nuevo alijo de números de teléfono confirmados da a los delincuentes una ventaja aterradora.
Un estafador sólo necesita dos cosas para hacerse pasar por usted cuando llama a AT&T, T Mobile o Verizon. Un número de teléfono operativo y un dato personal convincente.
La filtración proporciona ambas cosas.
Con un número confirmado como activo en WhatsApp, además de una foto de perfil y un breve texto que revela pistas como un nombre o una ciudad, los delincuentes suenan más creíbles para los agentes del servicio de atención al cliente. Una vez que convencen a un operador para que transfiera tu número a su tarjeta SIM, controlan tus llamadas y mensajes de texto. Esto incluye códigos bancarios basados en SMS, 2FA de cuentas criptográficas y restablecimiento de contraseñas.
En cuestión de minutos, los atacantes pueden vaciar las cuentas y bloquear completamente a las víctimas.
¿Cómo puede esto dar lugar a estafas de suplantación de identidad?
Porque los estafadores ya no necesitan adivinar. Ya saben que tu número es real.
Copiando tu foto de perfil y tu nombre y poniéndose en contacto con tus amigos con mensajes del tipo "Hola, soy yo, he cambiado de número", los atacantes pueden lanzar estafas de suplantación de identidad por WhatsApp increíblemente convincentes.
Ejemplo de mensaje fraudulento
Las peticiones de ayuda urgente, transferencias rápidas de dinero o "necesito su código de verificación" resultan mucho más creíbles cuando proceden de una cara conocida.
Y la cosa empeora. Los números de teléfono de EE.UU. de esta filtración pueden cruzarse con filtraciones antiguas, como el incidente de scraping de Facebook de 2021. Un estafador podría combinar tu foto de WhatsApp con tu nombre completo, correo electrónico o ciudad de origen, y luego cambiar de canal y atacarte a través de SMS o correo electrónico con un intento de phishing altamente personalizado.
¿Crea esto riesgos políticos o de vigilancia?
Por desgracia, sí. En un año de elecciones en EE.UU., los números activos confirmados se convierten en una poderosa herramienta de segmentación.
Grupos políticos o agentes extranjeros pueden crear bases de datos segmentadas de millones de usuarios de WhatsApp verificados. Pueden enviar información errónea a medida directamente a los chats privados, especialmente en los estados indecisos. La estructura de reenvío viral de WhatsApp hace que esto sea extremadamente eficaz a gran escala.
Incluso las agencias que vigilan a activistas o periodistas pueden utilizar estos números confirmados para identificar si una persona concreta utiliza WhatsApp e incluso qué sistema operativo utiliza. Los metadatos son minúsculos pero increíblemente poderosos.
¿Qué deben hacer ahora mismo los usuarios estadounidenses?
La buena noticia es que puedes cerrar la mayoría de estas vulnerabilidades con unos pocos cambios.
Active la verificación en dos pasos en WhatsApp
Abre los ajustes de WhatsApp, luego Cuenta, luego Verificación en dos pasos y crea un PIN de seis dígitos. Esto evita que alguien registre tu número en otro lugar, incluso después de un intercambio de SIM.
Bloquee la cuenta de su operador de telefonía móvil
Llame a su operador y añada un PIN de puerto de salida o una contraseña de alta seguridad. Esto dificultará considerablemente los intercambios de SIM no autorizados.
Oculta los datos públicos de tu perfil
Configura tu foto de perfil, "Acerca de" y "Visto por última vez" como "Mis contactos" o "Nadie". Así eliminas la prueba social de la que dependen los delincuentes.
Lee nuestra guía sobre cómo recuperar tu cuenta de WhatsApp.
Preguntas frecuentes
¿Cómo consiguieron los atacantes los 137 millones de números de teléfono de EE.UU.?
Los investigadores utilizaron técnicas de enumeración para confirmar qué números estaban activos en WhatsApp. No rompieron el cifrado, sino que mapearon metadatos públicamente visibles.
¿Significa esto que los mensajes de WhatsApp están expuestos?
No. Los mensajes siguen estando cifrados de extremo a extremo. El riesgo proviene de los números de teléfono confirmados y de los datos públicos del perfil.
¿Están afectados todos los usuarios estadounidenses de WhatsApp?
Sólo los números que estaban activos y tenían detalles visibles públicamente. Pero la escala es lo suficientemente grande como para afectar a todo el mundo.
¿Puede esto conducir al robo de cuentas bancarias?
Sí. El intercambio de tarjetas SIM que permiten los números confirmados y los datos personales puede dar a los delincuentes acceso a códigos bancarios basados en SMS.
¿Debo dejar de usar WhatsApp?
No es necesario. Pero deberías reforzar la configuración de privacidad y activar la protección de dos factores inmediatamente.
¿Cómo puedo adelantarme a este tipo de estafas?
Instale la aplicación ScamAdviser para recibir alertas en tiempo real, comprobaciones de estafas y consejos prácticos de protección adaptados a las tendencias de las amenazas.
Reportar una estafa!
¿Te has enamorado de un engaño, has comprado un producto falso? ¡Reporte el sitio y advierta a otros!
Categorías de estafa
Ayuda e información
Top Safety Picks
Your Go-To Tools for Online Safety
- ScamAdviser App - iOS : Your personal scam detector, on the go! Check website safety, report scams, and get instant alerts. Available on iOS
- ScamAdviser App - Android : Your personal scam detector, on the go! Check website safety, report scams, and get instant alerts. Available on Android.
- NordVPN : NordVPN keeps your connection private and secure whether you are at home, traveling, or streaming from another country. It protects your data, blocks unwanted ads and trackers, and helps you access your paid subscriptions anywhere. Try it Today!
Testimonios más populares
A medida que aumenta la influencia de Internet, también lo hace la prevalencia de las estafas en línea. Hay estafadores que hacen todo tipo de reclamos para atrapar a sus víctimas en línea -desde falsas oportunidades de inversión hasta tiendas online- e internet les permite operar desde cualquier parte del mundo con anonimato. La capacidad de detectar las estafas en línea es una habilidad importante, ya que el mundo virtual forma parte cada vez más de todas las facetas de nuestra vida. Los siguientes consejos le ayudarán a identificar las señales que pueden indicar que un sitio web podría ser una estafa. Sentido común: Demasiado bueno para ser verdad Cuando se buscan productos en Internet, una gran oferta puede resultar muy tentadora. ¿Un bolso Gucci o un iPhone nuevo a mitad de precio? ¿Quién no querría hacerse con una oferta así? Los estafadores también lo saben e intentan aprovecharse de ello. Si una oferta en línea parece demasiado buena para ser verdad, piénsatelo dos veces y compruébalo todo. La forma más sencilla de hacerlo es consultar el mismo producto en sitios web de la competencia (en los que confíe). Si la diferencia de precios es enorme, quizá sea mejor volver a comprobar el resto del sitio web. Compruebe los enlaces a las redes sociales Hoy en día, las redes sociales son una parte esencial de las empresas de comercio electrónico y los consumidores s
Así que ha sucedido lo peor: se ha dado cuenta de que ha desembolsado su dinero demasiado rápido y de que el sitio que ha utilizado era una estafa, ¿y ahora qué? En primer lugar, no se desespere. Si crees que te han estafado, lo primero que tienes que hacer es pedir que te devuelvan el dinero. Este es el primer paso, y el más sencillo, para determinar si se trata de una empresa auténtica o de un estafador. Lamentablemente, recuperar el dinero de un estafador no es tan sencillo como pedirlo. Si efectivamente está tratando con estafadores, el procedimiento (y la posibilidad) de recuperar su dinero varía en función del método de pago que haya utilizado. PayPal Tarjeta de débito/crédito Transferencia bancaria Transferencia bancaria Google Pay Bitcoin PayPal Si has utilizado PayPal, tienes muchas posibilidades de recuperar tu dinero si te han estafado. En su sitio web, puedes presentar una dispu ta en un plazo de 180 días naturales desde tu compra. Condiciones para presentar una reclamación: La situación más sencilla es que hayas hecho un pedido en una tienda online y no te haya llegado. En este caso, esto es lo que declara PayPal "Si su pedido nunca llega y el vendedor no puede proporcionar una prueba de envío o entrega, obtendrá un reembolso completo. Así de sencillo". El estafador le ha enviado un artículo completamente distinto. Por ejemplo, usted pidió una PlayStation 4, pero en su lugar sólo reci