NO pueden “hackear” tu celular solamente si presionas una tecla durante una llamada: es una cadena falsa en WhastApp
“Por favor alerta a toda tu familia, amigos. Los celulares están siendo hackeados. Te llaman y te preguntan si te has vacunado o no. Luego se le indica que presione 1 o 2 como respuesta y accede a toda su información bancaria. Las personas están perdiendo dinero, avíseles [sic] para que no respondan a este tipo de llamadas”, se lee en un mensaje, con formato de imagen, que enviaron a nuestro chatbot en WhatsApp para consultarnos sobre su veracidad. Pero es falso, como confirmaron expertos en ciberseguridad a elDetector.
Jaime Andrés Restrepo, CEO de DragonJAR.org, empresa especializada en seguridad informática en Colombia, explicó vía WhatsApp a elDetector que “no es posible que alguien acceda a tu información personal y bancaria simplemente por marcar un número durante una llamada telefónica”. Agregó que las aplicaciones de banca móvil y los sistemas operativos actuales en los dispositivos están “diseñados con medidas de seguridad” para prevenir este tipo de acciones.
Hebert Sánchez, ingeniero de transmisiones y profesional certificado en seguridad de sistemas de información (CISSP, en inglés), coincide en que es falsa la afirmación sobre el supuesto hackeo solamente tras presionar una tecla del celular durante una llamada. Indica que para llegar a intentar algo parecido, tendría que haber sido manipulado anteriormente el equipo por parte de quienes quieran obtener la información.
“Se necesitaría que, previamente, la víctima del hackeo hubiera instalado alguna aplicación que estuviera bajo el control de los ciberatacantes y, a través de un código que deba marcarse en el equipo, se les brindara el a su información personal almacenada en el teléfono”, señaló Sánchez a elDetector vía WhatsApp, pero reiteró que no se puede acceder a la data interna de un celular simplemente a través de una llamada.
Envíanos al chat algo que quieres que verifiquemos. Pincha aquí:
Sánchez explicó que “cuando llamamos a un servicio automatizado, el sistema escucha solo los tonos del teléfono a través de la llamada, ya que es lo único que puede enviarle”. Para que le entregue a ese sistema algo más que los tonos o se pueda tener a la información dentro del celular, “este tiene que estar previamente comprometido, tendría que haber un componente extra para que la llamada y el tono del teclado le den al hacker al teléfono”, como la aplicación que mencionó anteriormente como ejemplo.
Obtener datos personales a través de una llamada es ciberestafa, no hackeo
Los expertos consultados por elDetector indicaron que la modalidad de extraer datos personales y/o bancarios del propietario de un celular a través de una llamada en realidad no es un hackeo, sino una forma de phishing o ciberestafa. Restrepo señaló que esto es más comúnmente conocido como vishing o phishing por voz.
“La idea de ‘hackeo de celular’ usualmente implica algún grado de manipulación técnica o la explotación de vulnerabilidades en el software o hardware del dispositivo”, agregó, mientras que con el vishing no se ataca al dispositivo directamente, sino que se manipula al propietario para obtener sus datos personales o financieros. “Aunque no se está 'hackeando' el teléfono en el sentido técnico, se está obteniendo no autorizado a la información a través de la manipulación del ”, precisó el CEO de DragonJAR.
Sánchez, especialista en seguridad de sistemas de información, mencionó que también se debe aprender a reconocer los casos de spoofing o suplantación de identidad. “Es cuando el atacante usa tecnología para confundir al sistema de caller ID (identificador de llamadas) y se hace pasar por una entidad legítima; en este caso, por un banco” o cualquier otra institución que el atacante pueda utilizar para “tratar de conseguir dinero rápido. Este método es un delito y puede llevar al atacante a la cárcel si es descubierto", advirtió.
Acerca del spoofing, el medio mexicano Verificado publicó el 22 de abril de 2022 un chequeo en el que advirtió sobre esta forma de estafa precisamente al desmentir el mismo mensaje que recibimos en 2023 en nuestro chatbot. Un par de semanas después, el 3 de mayo, Fast Check, de Chile, difundió una verificación también sobre el mismo mensaje, que fue desmentido por la Policía de Investigaciones de la nación austral.
Y sobre el vishing, entre otras formas de phishing, ya explicamos más detalles, además de brindar datos de utilidad para identificar este tipo de estafas en esta verificación de abril de 2022:
Desde elDetector nos comunicamos vía correo electrónico con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, en inglés), dependiente del Departamento de Seguridad Nacional, para conocer si habían recibido alguna denuncia sobre lo que plantea este mensaje, ya que la consulta nos llegó desde EEUU, pero no obtuvimos respuesta antes de la fecha de publicación de esta verificación.
Conclusión
Es falso que con pedirle a una persona que marque solamente un número en su teclado durante una llamada telefónica, otros pueden "hackear" su celular y obtener su información bancaria, como dice un mensaje que circula por WhatsApp y por el cual nos preguntaron al chatbot. De acuerdo con expertos en ciberseguridad consultados por elDetector, no se puede obtener el a datos personales del con esa única acción, ya que tendrían que haber intervenido el equipo de alguna forma previamente para instalar alguna aplicación que les facilitara ese , además de que los sistemas operativos actuales en los celulares, así como las apps de banca móvil, cuentan con sistemas de seguridad que impiden estas acciones delictivas. Lee aquí cómo escogemos y asignamos nuestras etiquetas en elDetector.
Fuentes
Univision Noticias. elDetector. Cómo detectar tú mismo si estás siendo víctima de una ciberestafa ('phishing'. 27 de abril de 2022.
Entrevista vía WhatsApp con Jaime Andrés Restrepo, CEO de DragonJAR.org y experto en ciberseguridad en Colombia. 15 de mayo de 2023.
Entrevista vía WhatsApp con Hebert Sánchez, ingeniero de transmisiones y profesional experto en CISSP, especialista en ciberseguridad en Estados Unidos. 3 de mayo de 2023.
LinkedIn. Perfil de Jaime Andrés Restrepo, CEO de DragonJAR.org.
LinkedIn. Perfil de Hebert Sánchez, ingeniero de transmisiones y CISSP.
Free Code Camp. Curso de Certificación CISSP. Consultada el 15 de mayo de 2023.
Xataka. Qué es el "vishing" y en qué consiste el timo de la doble llamada del que han alertado la OCU y la Guardia Civil. 29 de septiembre de 2022.
Gobierno de Chile. Ministerio del Interior y Seguridad Pública. Ciberconsejos para evitar un ataque Spoofing. Consultado el 15 de mayo de 2023.
Verificado (México). Falsa la estafa y «hackeo» con encuesta telefónica sobre vacuna. 22 de abril de 2022.
Departamento de Seguridad Nacional de Estados Unidos. Consultado el 15 de mayo de 2023.
elDetector opera de forma independiente con el financiamiento de instituciones que puedes ver aquí y que no tienen ningún poder de decisión sobre nuestro contenido. Nuestra línea editorial es autónoma.
¿Viste algún error o imprecisión? Escríbenos a [email protected] o a través de nuestro Twitter @eldetectoruni. Tras verificar tu solicitud, haremos la corrección que corresponda en un plazo no mayor de 48 horas.
Lee aquí nuestra aquí traducido al español. Escribe a la IFCN llenando este formulario si consideras que no estamos cumpliendo ese código.
Envíanos al chat algo que quieres que verifiquemos:
