Campaña HackOnChat: Nueva Ola de Secuestro de Cuentas de WhatsApp mediante Portales de Autenticación Fraudulentos

Introducción

En las últimas semanas, CTM360 ha alertado sobre una sofisticada campaña global de secuestro de cuentas de WhatsApp, bautizada internamente como HackOnChat. Este ataque, que está creciendo a un ritmo alarmante, se basa en técnicas avanzadas de ingeniería social y el despliegue masivo de URLs maliciosas que simulan el entorno legítimo de WhatsApp Web. El objetivo es claro: obtener acceso no autorizado a cuentas de usuarios de WhatsApp en todo el mundo, comprometiendo su privacidad y la integridad de sus comunicaciones. Este artículo analiza en profundidad los aspectos técnicos y operativos de esta amenaza, así como sus implicaciones para los profesionales de la ciberseguridad.

Contexto del Incidente: Auge de los Ataques Basados en Ingeniería Social

El secuestro de cuentas en servicios de mensajería instantánea no es un fenómeno nuevo, pero la campaña HackOnChat destaca por su escalabilidad y su sofisticado uso de portales de autenticación fraudulentos. Aprovechando la familiaridad de los usuarios con la interfaz de WhatsApp Web, los atacantes han desplegado miles de sitios de phishing que imitan a la perfección el aspecto y el flujo de autenticación de la plataforma. Estos portales son promocionados a través de mensajes engañosos, suplantación de identidad y redireccionamientos desde redes sociales y servicios de mensajería.

Investigadores de CTM360 han detectado una red en expansión de dominios registrados y alojados en infraestructuras distribuidas, lo que complica significativamente su desmantelamiento y seguimiento. El ataque no discrimina por región ni por perfil de usuario, aunque se han observado picos de actividad en Europa, Latinoamérica y el sudeste asiático.

Detalles Técnicos: Vectores de Ataque, TTPs e Indicadores

La campaña HackOnChat utiliza principalmente técnicas de phishing (T1566 según el marco MITRE ATT&CK) combinadas con la suplantación de portales de autenticación (T1584.001). El flujo del ataque suele comenzar con la recepción de un mensaje (SMS, correo electrónico o WhatsApp) que redirige a la víctima a una URL maliciosa. Esta URL lleva a una página que replica fielmente el portal de WhatsApp Web, incluyendo elementos como el código QR de inicio de sesión.

El vector principal explota el mecanismo de autenticación de WhatsApp Web, que permite a los usuarios acceder a sus cuentas escaneando un código QR desde su dispositivo móvil. Los atacantes manipulan este proceso para capturar el token de sesión o, en algunos casos, realizar un ataque de proxy inverso (T1557.002), interceptando las credenciales en tiempo real. En ciertos escenarios avanzados, se han detectado scripts automatizados que integran módulos de frameworks como Selenium o Puppeteer para gestionar la sesión y evadir controles de seguridad.

Se han identificado miles de URLs maliciosas, muchas generadas dinámicamente o mediante técnicas de domain generation algorithm (DGA), complicando la elaboración de listas negras efectivas. Los indicadores de compromiso (IoC) incluyen patrones en los subdominios, certificados SSL autofirmados y endpoints que comunican con paneles de control alojados en infraestructura bulletproof.

Impacto y Riesgos: Desde la Privacidad al Fraude Financiero

El impacto de esta campaña es significativo tanto para usuarios individuales como para organizaciones. El secuestro de una cuenta de WhatsApp permite al atacante acceder a conversaciones, grupos y archivos adjuntos, lo que puede derivar en robo de información sensible, suplantación de identidad, fraude financiero y ataques posteriores (como spear phishing o business email compromise).

Según estimaciones preliminares, se han registrado cientos de miles de intentos de acceso no autorizado, con una tasa de éxito que varía entre el 3% y el 7% dependiendo del vector y la sofisticación del ataque. El potencial de daño reputacional y la posible exposición a sanciones por incumplimiento de normativas como el GDPR (Reglamento General de Protección de Datos) o la directiva NIS2 es elevado, especialmente si se comprometen datos personales o conversaciones corporativas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:

– Activar la verificación en dos pasos en WhatsApp y otras aplicaciones de mensajería.
– Educar a los usuarios sobre los riesgos de portales de autenticación no oficiales y técnicas de phishing.
– Implementar soluciones de monitorización de dominios y amenazas externas para detectar URLs maliciosas en tiempo real.
– Actualizar las políticas de respuesta a incidentes para incluir escenarios de secuestro de cuentas de mensajería.
– Revisar integraciones y flujos de autenticación en sistemas corporativos que dependan de WhatsApp para comunicaciones críticas.

Adicionalmente, el uso de herramientas de threat intelligence y la colaboración con CERTs nacionales puede acelerar la identificación y bloqueo de dominios fraudulentos.

Opinión de Expertos

Expertos en ciberseguridad destacan que la sofisticación de HackOnChat marca una tendencia hacia ataques de phishing cada vez más personalizados y automatizados. “La facilidad con la que los atacantes pueden replicar portales legítimos y aprovecharse de la confianza del usuario es alarmante. Las medidas técnicas deben ir acompañadas de una concienciación constante”, señala Marta Fernández, analista de amenazas en una multinacional tecnológica.

Implicaciones para Empresas y Usuarios

Para las empresas, el secuestro de cuentas de WhatsApp puede derivar en fugas de información y comprometer la cadena de suministro digital, especialmente si la app se emplea para comunicación entre empleados, clientes o proveedores. Las organizaciones deben incluir estos escenarios en sus estrategias de gestión de riesgos y cumplir con los requisitos de notificación de brechas, tal como exige el GDPR y la directiva NIS2.

Para los usuarios, la principal recomendación es desconfiar de cualquier enlace que solicite autenticación fuera de los canales oficiales y reforzar los controles de acceso a aplicaciones críticas.

Conclusiones

La campaña HackOnChat representa una amenaza emergente y altamente sofisticada en el panorama global de la ciberseguridad. Su rápida expansión y la automatización de la ingeniería social suponen un reto significativo para los equipos de seguridad, que deben adaptar sus defensas para proteger tanto a usuarios finales como a infraestructuras corporativas críticas.

(Fuente: feeds.feedburner.com)