Hablamos con el hacker que hizo suyo al WhatsApp de Bacanalnica. Esto fue lo que descubrimos…

Hablamos con el hacker que hizo suyo al WhatsApp de Bacanalnica. Esto fue lo que descubrimos…

Hagan de cuenta que están oyendo el wiu wiu wiu de última hora que pone el Canal 10 cada vez que hay temblor, para poner al aíre las llamadas de la gente informando que «aquí se sintió fuerte». Les vengo con una primicia de la interminable saga sobre los hackers de las pirinolas curtidas (de ahora en adelante HPC). Que la verdad, espero se acabe ya porque me da pena estár en esta aclaradera. Por cierto, pueden leer la parte 1 de los HPC (con todas sus aclaraciones) aquí.

Pero primero, la clásica pregunta. Les tengo una mala y varias buenas noticias. ¿Cuál quieren oír primero? OK, empecemos por la mala.

La mala noticia: los hackers sí tuvieron acceso a la cuenta de WhatsApp

¿Se acuerdan cuando les dije que los hackers de las pirinolas no habían tenido acceso a la cuenta de WhatsApp de Bacanalnica, solo al número viejo? Pues, al parecer, sí hay información de esa cuenta, a la que sí tuvieron acceso.

De hecho, la conversación con Yosi-yumply (o como sea que se llame), empezó con él mandándome capturas de la lista de contactos. No conversaciones, ni archivos, solo contactos.

¿Cómo frutas sucedió eso? La verdad no tengo idea, porque la cuenta de WhatsApp estaba protegida con 2FA (verificación de 2 pasos) y eso (se supone) protege contra accesos no autorizados. Es más, Yumply asumía que 2FA estaba desactivado, porque pudo entrar sin mucho problemas y yo le confirmé que no era el caso. Así que aquí dimos con una SERIA vulnerabilidad de parte de WhatsApp. Me voy a poner en contacto con WhatsApp Facebook Meta para que revisen el caso. Me imagino que tiene que ver con el uso de «Labels» (etiquetas) en WhatsApp Business. Como sea, es una falla del sistema que se tiene que corregir.

En resumen, la mala noticia es que el prix de HPC, pudo ver los contactos que tenía en la cuenta de WhatsApp de Bacanalnica. Ahí les fallé yo, por confiar en WhatsApp. No es excusa, esta nota precisamente es para pedir disculpas y dar explicaciones.

Sobre las conversaciones en WhatsApp (y los archivos), ahí sí creo que no hay mucho que reportar porque…

  1. No hay realmente conversaciones entre ustedes y yo. A menudo se resume en que yo les mando un link y unos cuantos dicen «gracias». Es basicamente lo mismo que se publica en Twitter y Facebook.
  2. Esa información vive en 2 lugares, en la memoria del teléfono y en el respaldo guardado en Google Drive (yo uso Android). En los servidores de WhatsApp la información solo va de pasadita y cifrada. Es más, si ustedes alguna vez han borrado de sus teléfonos toda la basura de WhatsApp y de pronto quieren ver una foto vieja que se fue en esa limpieza, saben que no hay manera de recuperarla.

Por otro lado, el hacker me dijo que cuando entró, que tuvo acceso a «todo» (sin dar muchos detalles), pero no me mandó capturas más que de los contactos. Así que no creo.

Las buenas noticias

Empecemos por la más importante. Fueron varios majes los que hicieron estos ataques, y el que nos tocó a nosotros, era azul y blanco. Es más, me dijo que una vez supo sobre la fama de Bacanalnica, hasta se arrepintió de habernos pirinoleado. Me dijo que lo único que él quería era «concientizar» a Tigo, para que mejoren su seguridad. No usó ese verbo, pero yo soy educado, y tampoco me quiero poner plan caja de lustrar con una corporación que tiene un poquito más dinero que yo. Porque no nos enredemos, aquí el principal problema sigue siendo que los HPC tuvieron acceso al número de Teléfono que administra Tigo. Si ese acceso no se hubiera dado, nada de esto hubiera pasado.

Sobre este tema, hago un paréntesis que tenía pensado publicar el día de hoy, antes de mi conversación con el maje de HPC:

Sigo esperando el comunicado oficial de Tigo. Mientras tanto, incluyo lo que compartió Bladimir Soto sobre el truco del buzón de voz:

Hay una modalidad de robo de cuenta que se llama buzonear, no es para nada nueva, pero hasta hace unos meses no se miraba en Nicaragua.

Tengo un número extremadamente fácil el cual estas personas desean para poder seguir cometiendo estafas y delitos de este tipo. Consiste en ingresar tu número celular en otro dispositivo, claramente WhatsApp pide un código de confirmación al cual ellos no tienen acceso porque no tienen físicamente mi teléfono, sin embargo, la «maravillosa» seguridad de TIGO le permite a cualquier persona cambiar mi pin del buzón de voz mediante un boot de WhatsApp.

El paso final es que solicitan el envío del pin de WhatsApp por medio de llamada, la cual cae de un número internacional, si contestas la llamada no pasa nada, pues la contestadora te dictará el pin, pero si no lo haces el pin pasará directo al buzón de voz.

¿Qué logran con esto? Poder acceder a tu buzón de voz haciendo uso de programas y escuchar el pin de confirmación de WhatsApp.

Teniendo el pin, ellos podrán robarte la cuenta y posiblemente no la podrás recuperar porque activarán la validación de dos pasos.

Recomendaciones: Activen la verificación de dos pasos, desactiven el buzón de voz, eso ya no sirve para nada, siempre estén atentos a los cambios de pin del buzón, TIGO tiene 0 seguridad con este tema.

Bladimir Soto en Facebook

Esto que describe Bladimir, es lo que me late hicieron los majes de HPC. Aunque luego en la conversación, Yumply me dijo que ellos también puede acceder directamente a los SMS de la línea telefónica (sin darme mayores detalles). De hecho, no me quiso confirmar cuál fue la forma que usaron antier para pironolear a Bacanalnica.

Dos cosas sí me dijo:

  1. No guardaron nada, y por lo tanto, no van a hacer público nada. Solo estuvieron dentro de la cuenta de WhatsApp unas cuantas horas y no tienen pretensiones de perjudicar ni a Bacanalnica, ni a los usuarios. Igual, yo desde ayer cambié el número a uno que es administrado a través de Google, así que Tigo dejó de ser un intermediario.
  2. El objetivo (como ya dije) es llamar la atención de Tigo. Todos los demás somos daños colaterales.

Le pregunté sobre el «No pudieron, ni podrán» que mandaron a algunos lectores de Confidencial y me dijo que ese fue otro maje y que ese sí es sandinista.

Yalaca tío Bacanalnica ¿Qué hacemos ahora?

Pues, en principio, con el cambio de número, estamos de nuevo seguros. Pero como WhatsApp ya me dejó como tapudo una vez, ahora prefiero decir que supuestamente estamos seguros. Definitivamente, WhatsApp no fue hecho para esto (vieran lo engorroso que es administrar una lista de más de 2 mil destinatarios). Telegram, por ejemplo, es mucho más sencillo y práctico (así que los que usan eso, busquenme por ahí).

Insisto que el Boletín por email es para mi lo mejor, pero tampoco voy a obligar a toda una generación que ya olvidó como usar el correo eléctronico, a que vuelva a 1998.

Yo cumplo con darles opciones. Y en este caso, hay de sobra formas de mantenerse en contacto con Bacanalnica. No les puedo prometer que WhatsApp no va revelar nuestro amor clandestino (que tenemos el contacto pues). Donde sí les puedo dar garantías, es que lo que me mandan por WhatsApp, nadie más lo ve. Porque es cifrado, de punto a punto.

Y sobre la factura, no se preocupen, esta nota de hoy va por cuenta de la casa. Es lo menos que podemos hacer. Así que no se sientan presionados a donar más abajo.