No es la primera vulnerabilidad de WhatsApp y, probablemente, tampoco sea la última. Un grupo de investigadores ha descubierto que sería posible bloquear una cuenta con un método poco sofisticado, pero altamente efectivo. Según Ernesto Canales Pereña y Luis Márquez Carpintero, la verificación en dos pasos no evita esta amenaza de seguridad.
Según recoge Forbes, el fallo está relacionado con el método de activación de WhatsApp en nuevos teléfonos. Los atacantes se aprovechan de este sistema para hacerle creer a la compañía que el terminal de la víctima ha sido robado y, de esta forma, consiguen dejarla sin la posibilidad de utilizar el servicio de mensajería.
WhatsApp, propiedad de Facebook, tiene más de 2.000 millones de usuarios activos, por lo que una amenaza de este calibre ha hecho saltar las alarmas. "Con tantas personas que dependen de WhatsApp como su principal herramienta de comunicación con fines sociales y laborales, es alarmante la facilidad con la que esto puede ocurrir ”, advirtió Jake Moore de ESET a la conocida revista Forbes.
¿Cómo pueden bloquear tu cuenta de WhatsApp solo con tu número?
Cuando cambias de teléfono e instalas WhatsApp en tu nuevo terminal, tras solicitarte tu número, la aplicación te envía un SMS para verificar la identidad de tu cuenta. Si el código ingresado es correcto, el servicio se habilita y ya puedes empezar a chatear con tus contactos.
Hasta aquí todo parece normal. Pero, para entender esta vulnerabilidad, debemos entender que cualquier persona puede instalar WhatsApp en su teléfono e ingresar tu número de teléfono. En caso que un atacante haga esto, recibirás mensajes de texto y/o llamadas con el código de activación.
Quizá continues utilizando la aplicación con normalidad, ignores estos mensajes y respires tranquillo pensando en que tienes la verificación en dos pasos activada. ¡Error! Podrías quedarte sin tu cuenta de WhatsApp. ¿Cómo? El atacante puede ingresar códigos incorrectos una y otra vez hasta alcanzar el límite permitido.
Una vez superado, WhatsApp solo volverá a enviar códigos mediante mensajes o llamadas pasadas 12 horas. Además, la aplicación bloquea el ingreso de códigos al detectar que se han realizado demasiados intentos incorrectos y, también, volverá a habilitarlo en 12 horas.
Mientras sigues tu vida e ignoras lo que está ocurriendo, el atacante sigue activo. Y aquí llega el siguiente paso en el ataque: a través de una dirección de correo electrónico, envía un mensaje a support@whatsapp.com. En el mensaje se hace pasar por ti y, asegurando que tu teléfono ha sido robado, solicita la desactivación de la cuenta de WhatsApp.
El atacante engaña al sistema para bloquear tu cuenta
Como en el mensaje dirigido a WhatsApp ha incluido tu número de teléfono, un sistema automatizado podría volver a solicitar nuevamente el número para confirmar la información. Si esta respuesta es correcta, y como no hay forma de confirmar que no eres el propietario del teléfono, la cuenta se desactivará.
Tras aproximadamente una hora recibirás un mensaje preocupante. "Tu número de teléfono ya no está registrado en WhatsApp", dice. Y continúa: "Eso podría deberse a que lo has registrado en otro teléfono. Si no lo has hecho, verifica tu número para volver a iniciar sesión en tu cuenta".
Puede que intentes ingresar tu número en la aplicación para iniciar sesión, pero esto será en vano. WhatsApp no te enviará ningún código (recuerda el bloqueo de 12 horas) y te dirá: "Has intentado registrarte recientemente". La app, una vez llegados a este punto, te solicitará que esperes antes de pedir un nuevo SMS o llamada.
Una vez transcurridas las 12 horas, el atacante puede repetir la operación antes que el propietario. Tras repetir varias veces este proceso, el sistema falla. La aplicación volverá a decir "Lo has adivinado varias veces", pero pedirá que vuelva a intentar ingresar el código tras esperar "-1 segundo". Es decir, ya no hay forma de ingresar códigos.
Hasta el momento, WhatsApp no se ha pronunciado sobre el fallo de seguridad y tampoco ha dicho si solucionará el problema. Lo cierto es que deberían tomar cartas en el asunto, ya que se trata de un método de ataque sencillo que podría dejar cuentas desactivadas temporalmente o, quizás, permanentemente.