Hablamos con un joven mendocino de solamente 17 años que reveló varios de los trucos que se usan para todo tipos de estafas: “Lo más estúpido que puede hacer alguien es usar el cumpleaños o el DNI para las contraseñas”.
“Hola Alejo, soy Crackero, un ‘hacker’ de WhatsApp”, decía el mail que recibí hace unos días. No es la primera vez que me llega algo así, pero siempre me genera intriga, así que le escribí.
Hablamos con este joven mendocino de 17 años que dijo que quería contarme lo que aprendió en la pandemia “porque estaba aburrido”. También, cómo llegó a robar líneas de teléfono, WhatsApp y cuentas de Instagram por las que pidió rescate.
¿Cómo me convenció de sus “habilidades”? Me mandó la foto de mi propio DNI.
Hablando con él tomé conciencia de la cantidad de datos que compartimos en las redes. De lo fácil que es encontrar información personal de las personas. Y también de la obviedad de muchas contraseñas, una de las formas más simples de hackeo: entrar con el DNI, el cumpleaños o algún dato particular de los usuarios.
Hackeo de WhatsApp y robo de líneas
“Comencé en 2020 en tiempos de pandemia por aburrimiento, y efectivamente se puede hackear WhatsApp mediante el robo de un número de teléfono, obviamente sin tener que robarle a la persona. El objetivo es diversión y demostrar tus conocimientos con otros hackers”, me contó Crackero por WhatsApp.
Me habló mediante una línea que no era propia. Me di cuenta porque termina con números repetidos. “Son los que más gustan en el mundo hacker, cuántos más números repetidos, mejor”, me explicó.
¿Cómo se roban las líneas de teléfono? El proceso fue mencionado en varias notas de TN Tecno, pero no parece complicado: hay que simular ser otra persona y pedir el chip de su línea. Si las medidas de seguridad de la compañía telefónica no son fuertes, se obtendrá el control de ese número para después apoderarse del WhatsApp y otros servicios.
“Facundo, un chico de 16 años que es uno de los hackers más peligrosos que podés cruzarte, me enseñó varios métodos. Como llamar a una compañía y con algunos engaños pedir un chip nuevo o si la contraseña es fácil acceder al buzón de voz”, me resumió. En realidad me explicó paso a paso como funcionan estos hackeos, pero para no darle ideas a nadie vamos a evitar detallarlos en esta nota.
Estos sistemas, en general, ya fueron solucionados. Aunque la clonación de líneas -apoderarte del teléfono mediante un nuevo chip- es un problema recurrente. Con estos trucos es fácil tomar el control de un perfil WhatsApp o acceder a otros servicios que tienen verificación de dos factores, vía SMS.
“Es importante que la gente no ponga la verificación al número -por SMS-, es mejor usar el autenticador de Google u otros similares. Con eso estás más que seguro”, me dijo Crackero, que busca explicar lo simple de estos métodos de hackeo y también cómo evitarlos.
Corroboré estos datos con un especialista en seguridad informática, Gabriel Zurdo, CEO de BTR Consulting. “Todo lo que te dice este hacker es verosímil y real. Lo que cuenta es similar a casos que nosotros detectamos”, respondió.
El tema del robo de líneas es uno de los más complejos, porque no depende del usuario sino de las compañías. “El tema del reemplazo de la tarjeta SIM, en los operadores lo que falla es un tema de procesos. Suelen tener call centers tercerizados. La validación de la identidad del usuario para confirmar si el que llama es el titular, o un apoderado, pueden tener fallas”, sentenció Zurdo.
La forma de prevenirlo: hablar con el operador para evitar que con un par de preguntas puedan pedir un chip con nuestra línea.
Qué es la “ingeniería social” y por qué se convirtió en una herramienta fundamental para hackear cuentas
Para los hackeos también se usa lo que se llama ingeniería social. “Tenés que tener un conocimiento de la víctima, por ejemplo sacar informes de su persona, DNI, fecha de nacimiento. Es tan fácil poner el nombre completo y te dice todo, con eso ya vas viendo como intentar adivinar una contraseña pero mayormente son números de DNI o fechas importantes cumpleaños, incluso nombres de parientes y mascotas”. resumió el joven.
Otro consejo, que puede parecer obvio pero no lo es: no compartir en redes datos personales que se pueden usar para recuperar contraseñas. Y evitar passwords fáciles de adivinar.
Por supuesto todo es más fácil si estás conectado y podés acceder a bases de datos gubernamentales. Para muestra basta un botón, o una foto de DNI: la mía. También le pedí la foto de un conocido músico, que sabía que había cambiado el documento hace poco. Consiguió la imagen más reciente. Claramente tenía acceso a estos datos.
Con información personal, que casi es de acceso público, y un poco de ingeniería social -información que nosotros mismos compartimos en las redes- los hackeos son bastante simples. Siempre el detalle son los errores humanos.
“Una de las pocas medidas que tenés en WhatsApp es el doble factor de autenticación. Pero el 80% de la gente no lo tiene activado. O lo del buzón de correo que explicó Crackero. Son errores humanos por falta de pericia o de información”, sentenció Zurdo, que también suele predicar por el resguardo de datos privados para evitar la ingeniería social.
Cómo evitar ser víctima de un hackeo
“Es clave no poner información tuya en Facebook. El cumpleaños, el nombre completo. Si tenés la fecha de nacimiento podés saber cuál es la cuenta de una persona. A veces me gusta hacer justicia. Yo trato de no ser de esos hackers malos, trato de ayudar, dar testimonios como este. Lo más recomendable hasta ahora es lo del Autenticador de Google”, me explicó el joven hacker. Otra opción que usan muchas plataformas es Authy.
“Lo más estúpido que puede hacer alguien es usar el cumpleaños, el DNI o algo así para las contraseñas. Porque viene cualquiera y ya sabe tus contraseñas. Es como que no te importa tu información. Pasó varias veces que entré a cuentas de Google con el número del documento”, agregó.
Él y sus amigos -es parte de un grupo que se llama Youngblood- suelen “pelearse” con otros hackers. Y la cosa a veces se pone pesada, especialmente cuando podés acceder a los perfiles de ANSES de ellos o sus familiares, cortarles la luz, mandarles comida o un patrullero a la casa.
“Hubo uno al que amenacé con robarle la tarjeta a la madre y generarle una deuda. Pero me puse en el lugar del otro y decidí no hacerlo. Lo apuré, le dije que se borre o le hacía eso y se terminó yendo”, relató.
Para Crackero es importante que los padres estén al tanto de lo que hacen los chicos, que hablen. Que estén atentos a lo que puede llegar a pasar.
“Es mucho stress esto. Tengo que mantener mi vida social y por otro lado siento que tengo una vida virtual. Podés ser el villano y podés ser el héroe. A mi me doxearon -exponer datos privados por Internet-, yo me largué a llorar cuando me llegó todo. Te ponen los datos del DNI, dónde vivís, los nombres de tus viejos, te querés morir”, sentenció.
De las cargadas al robo por dinero
“Cuando robás una cuenta tenés el boom de felicidad de haber conseguido realizar la ‘hazaña’ y te pones a boludear con su WhatsApp, cambiás el nombre y todo. Igual el objetivo preferido son las cuentas de Instagram con muchos seguidores para hacer plata fácil. Venderlas”, me explicó.
Algo parecido a lo que pasó hace unos días con Catherine Fulop, a la que le hackearon Twitter y también le pidieron recompensa para dársela de vuelta. El detalle: intentaron acceder a sus cuentas de Instagram y Facebook pero no pudieron gracias al doble factor de autenticación.
“En ese momento, cuando nos están engañando, somos todos iguales, Catherine Fulop o mi tía Berta. No importa la capacidad económica, el nivel de educación o la condición social, están todos en el mismo lugar”, detalló Gabriel Zurdo, que junto a su equipo trabajó para recuperar el perfil de la actriz.
A Crackero no le gusta jactarse de esto pero afirma que, por problemas de salud de la madre, decidió hacer algo de plata con sus conocimientos informática: “convertí 50 pesos en 100 mil”.
“Yo robé cuentas de Instagram, por necesidades médicas de mi mamá. Compré chips de 50 pesos y con eso me hice 100 mil pesos. Buscás el Instagram de un negocio, que tenga una buena cantidad de seguidores, arriba de 100 mil”, me contó el joven hacker, para después resumirme una vez más el paso a paso para hacerse con un perfil en esa red social.
“Hay un porcentaje de un 30% que recuperan la cuenta. Pero si le ponías un autenticador como el de Google lo evitabas, y cuando te pagan le das eso y listo”, agregó.
Su caso más exitoso fue el robo de una cuenta a una persona de China. “Me ofreció 100 mil pesos y se la devolví. Yo me aseguré de que no pase nada con esa plata. Hice un pequeño ‘lavado’. Me quedaron 75 mil que se los di a mi vieja. Y al final le expliqué un poco lo que hice para que no piense que estaba metido en drogas o que salía a robar”.
Peleas hackers y fiestas “en paz”
Crackero todavía mantiene el control de una cuenta de Instagram de 8 mil seguidores: “la tengo como de recuerdo, fue la primera que me robé”.
“Este mundo me hizo conocer mucha gente buena y también mala. Siento que me formaron, porque aunque parezca una boludez, hay conflictos, hay como ‘guerras hackers’, se roban números, se doxean. No es muy recomendable que te metas en estos ámbitos”, sentenció.
¿Lo positivo? En las fiestas hay un código interno para frenar las actividades. “En Navidad y en Año Nuevo se paran los hackeos. Se juntan todos los grupos en uno solo. Se hacen chistes pero no se realizan ataques”, confirmó este chico que recién pasó a quinto año de secundaria.