Icono del sitio Blog de Oscar Padial

Cómo robar Whatsapp sin tener que hackearlo

Oscar Padial Diaz

¿Cómo robar Whatsapp sin tener que hackerlo? Muy sencillo, utilizando el eslabón más débil de la cadena.

El eslabón más débil de la cadena

Tal y como ya os he hablado varias veces en este blog, una de las herramientas de hacking más potentes que ahí es la ingenieria social porque hace uso del que puede ser considerado como el eslabón más débil de la cadena, el usuario.

Éste ha sido el conocido recientemente, como el caso del robo del Whatsapp de Alber Ribera.

El procedimiento es bastante sencillo y más que un profundo conocimiento de técnicas hacking, lo que hace falta es entender el funcionamiento de la aplicación en cuestión (cómo se activa, métodos de comprobación de identidad, etc) y un poco de ingeniería social para conseguir los únicos dos datos que a priori debemos conocer.

Ingeniería social

Aunque en este caso no sería ni necesario aplicar grandes conocimientos de ingenieria social porque los dos datos que se necesitan son bastante comunes y, dependiendo del perfil de la persona, incluso bastante públicos.

Los datos que necesitamos son:

Lo único un poco más elaborado técnicamente (y donde va a estar el éxito del robo) es, preparar un phishing (mail haciendonos pasar por Whatsapp solícitando a la víctima el código de activación que acaba de recibir).

Robo del Whatsapp

Ahora que ya tenemos estos datos éste es el procedimiento que debemos realizar:

  1. Instalamos Whatsapp en el móvil donde queramos tener el Whatsapp «robado». Le llamaremos móvil atacante.
  2. Al instalar la aplicación, nos solicita el número de teléfono que queremos utilizar para Whatsapp. Aquí le daremos el número de la víctima. Pero antes le mandamos el mail.
  3. Le enviamos un mail a la víctima, haciéndonos pasar por Whatsapp de la manera más creíble que se os ocurra y solicitándole que a través del enlace introduzca el código de activación que le va a llegar.
  4. En ese momento a la víctima le ha llegado un código de activación de whatsapp y si nuestro phishing ha sido creíble en unos minutos tendremos el código de activación y podremos finalizar la instalación.

Como hemos visto, son cuatro sencillos pasos que, haciendo uso de procedimiento de activación y sobretodo, del eslabón más débil de la cadena de seguridad nos permite hacernos con el control del Whatsapp de una posible víctima.

Si quieres saber más en detalle como realizar esta técnica, o quieres concienciar a tus empleados, alumnos, amigos, etc. en breve pondré en marcha un taller donde realizaré un caso práctico reproduciendo en detalle lo que acabamos de ver en este post.

Ponte en contacto conmigo y te informaré.

Photo by Christian Wiediger on Unsplash

Photo by Rachit Tank on Unsplash

Salir de la versión móvil