Como habrán leído estos días, hizo falta que interviniese una jueza para empezar a ponerle fin al delirante sistema de autenticación que explotaban los piratas para quedarse con tu línea telefónica, y que conté con detalle en esta columna, en octubre. La pandemia, me decían por entonces algunos de los operadores, puso en jaque la forma más elemental de autenticación, que es la de ir en persona. No es infalible, claro, pero requiere mucho más esfuerzo para ser burlada.
Después de la intervención de la justicia, trascendió que era posible que las telefónicas implementaran un método biométrico por reconocimiento facial para autenticar clientes; incluso quizá usando la base de datos del Renaper (no, la foto de tu DNI no es solo una foto). Me parece, de mínima, una exageración, y me parece también que es incorporar una serie de superficies de ataque adicionales e innecesarias. Si la telefónica usa su propia base de datos, los piratas se la pueden robar (pasa todo el tiempo); si usan la del Renaper, es darles acceso a algo que no debería salir de la órbita del Estado.
Ahora, si el problema era la pandemia y la gente no podía salir de su casa, ¿no era más simple implementar alguno de los cientos de métodos de verificación que nos ha enseñado Internet en los últimos 40 años? Por ejemplo, si nos ofrecen espacio de almacenamiento en la nube, ¿por qué no asignarle a cada línea celular una cuenta de correo electrónico con autenticación en dos pasos mediante Authenticator y usar ese código para validar al cliente?
De a pie
La intervención de la justicia se debe, por supuesto, al hecho de que así como se quedaban con la línea de un ciudadano de a pie, terminaron robándose las de funcionarios públicos, y ya saben como terminó. Lo interesante de esto, y lo sintomático, es que durante varias semanas antes de que el hackeo (llamémoslo así) llegara a los funcionarios públicos, en las oficinas de la misma telefónica (Movistar) que le brinda servicio a D’Alessandro y Santilli se veían constantemente escenas de personas desesperadas, muchas veces rompiendo en llanto, a los gritos porque al acceder al teléfono los delincuentes les habían sustraído no solo un medio de comunicación, sino también dinero. Y nadie hizo absolutamente nada.
Veremos cómo sigue. En todo caso, una de las razones que le juegan a favor al pirata para realizar un ataque de SIM swap (así se llama cuando piden un SIM haciéndose pasar por vos) es que cada vez hablamos menos por teléfono y, además, con un Wi-Fi a mano casi siempre, teletrabajo mediante, uno tarda más tiempo en darse cuenta de que se quedó sin línea, sin llamadas y sin datos móviles. Pero hay algo más, y seguramente ya estás pensando en eso. Exacto: WhatsApp.
Menú de opciones
El pirata puede optar por varias tácticas, tan pronto como se queda con tu línea celular. Si ya sabe (porque te investigó) que tenés alguna cuenta en redes sociales con muchos seguidores, no te secuestra tu WhatsApp, sino que, por el contrario, consciente (aunque de conciencia no tienen nada) de que vos casi seguro usás este mensajero, lo va a usar para extorsionarte. O sea, te va a pedir plata para devolverte el acceso a las redes con muchos seguidores.
Si, en cambio, no encuentra nada de valor, va a tomar control de WhatsApp y le va a empezar a vender dólares a muy buen precio a tus amigos o cosas así. Un encanto de gente.
Como estas son computadoras, y no palanca y polea, las cosas no son ni tan simples ni tan intuitivas como suelen plantearse. Al robar tu cuenta de WhatsApp el pirata no obtiene ni el historial de chats ni tus contactos. Esa es la razón por eso tenés que hacer un backup antes de cambiar de teléfono. Ese backup queda en la nube y por lo tanto, si el pirata no tiene las credenciales para acceder a esas cuentas (la de Google o la de Apple), solo verá números de teléfono. Pero aquí se abren dos posibilidades. Una es que hayas compartido (se hace mucho, por desgracia) tus credenciales con otra persona, por el motivo que sea (es tu asistente, ponele), y que esa persona no haya sido lo bastante prolija o leal. La segunda vertiente es que solo vea números de teléfono. Parecería ser algo inútil, pero estos muchachos trabajan en escala. Tiran el mismo anzuelo con la misma carnada (vendo dólares baratos; tenés un turno para la decimosexta dosis de la vacuna contra el Covid; estoy perdido en Siberia y necesito dinero para volver) a todos los contactos. Algunos caen. Así funciona.
Dejalos afuera
El asunto es que, como recomendé en su momento, no es ninguna mala idea hacer al menos tres cosas.
Primero, descartar los SMS como método de autenticación y usar en cambio una app como Authenticator, de Google, que se asocia al equipo –al teléfono–, no a la línea. De este modo, cancelás la posibilidad de que se quede con tus cuentas de correo, Instagram, Twitter; Facebook y otras, porque en lugar de autenticarte por un SMS (que ahora le llegará al pirata) lo hace mediante Authenticator (y el pirata no tiene tu teléfono)Segundo, ponerle un PIN a WhatsApp. Se hace en la app mediante Ajustes> Cuenta> Verificación en dos pasos. Esto no va a blindarte de todos los posibles abusos del delincuente, pero sí va a evitar que te robe tu WhatsApp (que es todo en esta vida).Tercero, imprimir códigos de respaldo. Ya sé que por ahí no tenés impresora, pero pedí una prestada, lleva un minuto y es un salvavidas que, igual que en un barco, hasta que no tenés un problema, no valorás en su justa medida.
El PIN de la verificación de dos pasos de WhatsApp es lo que va a evitar que el delincuente pueda asociar su equipo a tu cuenta de WhatsApp. Así de simple. Puede intentarlo, pero si no tiene el PIN no va a completar la operación. Y eso es fundamental, no solo porque no va a robarle plata a tus amigos, sino porque vos no vas a quedarte sin WhatsApp (que, como dije, para bien o para mal, es nuestra forma de comunicarnos en este momento). Así que diría que la verificación en dos pasos de WhatsApp no es opcional; es obligatoria.
El miedo a olvidar las contraseñas
Ahora bien, hiciste los deberes pero sos una persona realmente muy ocupada y, como le pasó a un amigo el otro día, se te olvida el dichoso PIN de WhatsApp. ¿Qué hacés?
Los Ajustes de WhatsApp (Ariel Torres/)
Bueno, como por ahora el único lugar de donde no pueden robarte las contraseñas es de tu mente, WhatsApp tiene un excelente método para que no te olvides ese PIN. Te lo pide cada tanto, al azar. Esto es normal. Cada tanto, sin razón aparente, WhatsApp te pide el PIN. ¡Pero por qué! Porque de ese modo se asegura de que no te lo olvides.
Con todo, la memoria es tan segura como frágil, e incluso con ese método podrías tener una laguna de esas que deberían figurar en los mapas. No te preocupes. Podés desactivar la verificación en dos pasos en el mismo equipo en el que la diste de alta sin que la app te vuelva a pedir el PIN. ¿No te pide nada, en serio? En serio, y tiene sentido. Es tu teléfono.
Dentro de Ajustes> Cuentas está la opción Verificación en dos pasos. Haceme caso, activala (Ariel Torres/)
Ahora, si te olvidás el PIN y además cambiaste de teléfono, no entres en pánico. Hay dos soluciones. La más práctica es ingresar tu cuenta de correo electrónico en el momento de activar la verificación en dos pasos. Es un opcional. Pero es lo mejor que podés hacer. ¿Por qué? Porque si te olvidás el PIN, Meta va a mandarte a ese correo un link para restablecerlo.
Si no pusiste una cuenta de correo al establecer la autenticación en dos pasos (insisto, es un paso opcional), entonces vas a tener que tocar Restablecer y esperar siete días. Es una eternidad, ya sé, pero es mejor que la cuenta se encuentre protegida a que el delincuente pueda usarla en tu nombre. Podés ver más información aquí.
Al tocar el botón Activar te pedirá dos veces un PIN y dos veces tu cuenta de correo electrónico (Ariel Torres/)
Para despejar otra de las confusiones que andan dando vueltas: es cierto, podés bloquear tu WhatsApp con la huella dactilar en tu teléfono. En general es una exageración, pero como pasa con algunos ejecutivos y funcionarios, quizá tu celular pasa por las manos de varios asistentes, y en ese caso querés proteger tu mensajería de miradas indiscretas. Está OK. Eso se hace desde Ajustes> Privacidad> Bloqueo con huella dactilar. Ahora bien, eso no va a bloquear al pirata, si te roba la línea y tu WhatsApp. La manera de protegerte de esto es (repito) la verificación en dos pasos.
Podés desactivarla en el mismo equipo en el que diste de alta la verificación en dos pasos sin que te pida PIN (Ariel Torres/)
Final abierto
Si todo sale bien, la compañía involucrada va a dejar de transferir líneas sin controles más estrictos. Pero si algo he aprendido en décadas de escribir sobre seguridad informática es que los chicos malos son creativos, así que mantené Authenticator y el PIN de WhatsApp incluso cuando esta modalidad delictiva cese. Porque van a inventar alguna otra cosa, te lo firmo.