Mientras celebraban una convención de hackers en Las Vegas, llamada DEF CON, uno de los presentadores del evento reveló un nuevo método que atacantes están utilizando para conseguir acceso a cuentas de WhatsApp, PayPal y otra diversidad de servicios que cuentan con una aplicación móvil. Por medio del buzón de voz de un teléfono, hackers han logrado robar información personal de usuarios, sin que ellos lo sepan.
El hacker español Martín Vigo, que dio la presentación durante el DEF CON, mostró lo fácil que es “hackear” el buzón de voz de un dispositivo celular. Enfatizando la falta de seguridad que tiene esta función, describió como la clave predeterminada para acceder a este suele tratarse de solo cuatro dígitos. Además, sin un límite de intentos establecido por las operadoras, cualquiera puede seguir intentando hasta adivinar el código.
Cómo hackean WhatsApp?
Una vez que cuentan con acceso al buzón de voz, obtener acceso a una aplicación como WhatsApp es fácil. Al iniciar sesión en la aplicación, el usuario debe introducir un código de acceso único que se le es enviado por medio de un mensaje texto a su equipo.
Sin embargo, es posible pedir que el código le sea entregado por medio de una llamada telefónica. Si uno no contesta la llamada, apaga el equipo o está fuera de servicio, WhatsApp simplemente deja el mensaje con el código en el buzón de voz.
Cómo hackean PayPal?
Para aplicaciones que prevén este método, como PayPal, se encontró otro método para conseguir acceso. Cuando un usuario desea restablecer la contraseña de su servicio PayPal, la empresa requiere que el nuevo PIN sea introducido durante la llamada por medio del teclado numérico del equipo, evitando por completo el buzón de voz al no dejar ningún mensaje.
El problema es que la llamada es realizada por un sistema automatizado que no puede identificar cuando la llamada accede al buzón de voz. Al cambiar la grabación del mensaje de saludo de buzón de voz por un nuevo mensaje que incluya tonos de marcación del teclado, es posible engañar al sistema automatizado y obtener acceso a la nueva contraseña de PayPal.