Hace unos días cenábamos con una noticia en la que Albert Rivera, el presidente del partido político Ciudadanos, denunciaba el acceso ilegítimo al control total de la aplicación WhatsApp de su teléfono móvil. En «El Confidencial» se ha publicado que Inés Arrimadas, su compañera política, evidencia haber recibido en su teléfono intentos del mismo tipo de ataque.

Por lo que mis ojos de perito informático deducen de las fotos que acompañan la noticia, la sucesión de hechos sería la siguiente:

El primer paso: la víctima recibe uno o varios SMS falsos en los que el atacante envía códigos aleatorios de confirmación de Whatsapp. Estos mensajes servirán para preparar el terreno a lo que vendrá después.

El segundo paso: la víctima recibe un mensaje del atacante a través de WhatsApp, suplantando al proveedor del servicio, indicando que han detectado varios intentos de acceso a su cuenta, por lo que solicitan un código de seguridad recibido por SMS.

A la derecha se puede ver el mensaje a través de Whatsapp enviado por el atacante a la víctima.

Como tercer paso, el atacante intenta registrar el número de teléfono de la víctima en su dispositivo, provocando que WhatsApp envíe un mensaje con un código de confirmación real.

Enntonces, como cuarto paso, la víctima, al creer que los intentos de acceso previos son de verdad, en realidad preparados por los SMS enviados por el atacante, cae en la trampa y envía a este el código de confirmación de WhatsApp.

Finalmente, el atacante introduce …