Tus datos podrían estar en peligro por vulnerabilidades en WhatsApp y PayPal

Tus datos podrían estar en peligro por vulnerabilidades en WhatsApp y PayPal

Para evitar el robo de datos y cuentas, un especialista español aconseja desactivar este servicio.

Martin Vigo, un ‘hacker’ español, ha presentado una investigación en la que muestra cómo atacantes pueden acceder a cuentas personales de WhatsApp, PayPal y otras redes, simplemente ‘hackeando’ el buzón de voz de una persona, informa The Guardian.

En su presentación en una convención de ‘hackers’ llamada DEF CON desarrollada en Las Vegas, el especialista comentó que el buzón de voz es muy vulnerable para potenciales ataques. Vigo describió que a menudo la clave del buzón consiste solo de cuatro dígitos y no tiene un límite de intentos que una persona puede introducir para adivinarlo.

Como ejemplo, el ‘hacker’ mostró un método para acceder a los datos de WhatsApp. Para iniciar la sesión en esa aplicación, el usuario tiene que introducir un código que el servicio le envía a través de un mensaje. Sin embargo, la persona puede pedir a la compañía que lo llame y le envíe la contraseña por mensaje de audio. Si un teléfono se queda fuera de servicio, WhatsApp envía ese mensaje oral al buzón de voz, donde un ‘hacker’ lo puede escuchar.

Por su parte, el servicio de pago PayPal protege a sus clientes contra esquemas de este tipo y cuando un usuario quiere restablecer la contraseña con una llamada telefónica, la empresa le solicita que introduzca un nuevo PIN durante la llamada y no lo envía al buzón de voz.

Sin embargo, Vigo reveló otro camino para obtener acceso. Según el español, para engañar a PayPal una persona tiene que sustituir el mensaje de saludo de su buzón de voz por una grabación con tonos del teclado. En ese caso, el sistema de seguridad del servicio pensará que le ha contestado una persona real.

Finalmente, para evitar el robo de datos y cuentas, Vigo aconseja cambiar el pin predeterminado para el buzón e introducir un código largo o desactivar completamente el buzón de voz.

De esta manera los ‘hackers’ obtienen datos de las tarjetas bancarias

Una vulnerabilidad en los routers D-Link está siendo explotada por los ‘hackers’ para dirigir a los usuarios de dos importantes bancos de Brasil a páginas falsas de esas entidades financieras para así obtener los datos de sus tarjetas bancarias, comunica la firma de ciberseguridad Radware.

Las entidades financieras afectadas son el Banco de Brasil y el Itau Unibanco. A través de ‘exploits’ los piratas informáticos están modificando la configuración del servidor DNS de los usuarios brasileños, y redirigir todas sus solicitudes de DNS a través de un servidor DNS malicioso.

De esta forma, cuando un usuario intenta acceder al sitio oficial del Banco de Brasil, por ejemplo, acaba siendo enviado a una página falsa de la institución financiera. Allí se les pide especificar todos los detalles, incluido el número de teléfono y la clave de la tarjeta bancaria.

Este método de fraude “único” se lleva a cabo sin ninguna interacción del usuario, quien ni siquiera está al tanto que está siendo víctima de un engaño, señala Radware. Entre el 8 de junio y el 10 de agosto, la firma de ciberseguridad ha registrado casi 500 intentos de este tipo de ataque en Brasil.