Recientemente unos investigadores españoles han descubierto un grave fallo de seguridad en WhatsApp que permitiría a un hacker poder desactivar cualquier cuenta de WhatApp de forma permanente a través de las propias opciones de verificación que ofrece la app de mensajería.
Cuando registramos por primera vez un teléfono en WhatsApp, nos llega un SMS para verificar nuestro número con un código, en caso contrario, incluso nos pueden llamar para recibir un código que tendríamos que rellenar en WhatsApp para verificar nuestro perfil y usar la app.
Estos investigadores, Luis Márquez Carpintero y Ernesto Canales Pereña, han detectado una vulnerabilidad en ese proceso que permitiría a un atacante bloquear para siempre cualquier perfil de WhatsApp con solo conocer el número de teléfono de su víctima, lo que no deja de ser algo inquietante y muy preocupante.
Para que te puedas hacer una idea, ni el paso de seguridad adicional de autenticación en dos pasos de WhatsApp se libra del fallo a pesar de que lo tengas activado, algo grave que probablemente los responsables de WhatsApp solventen pronto porque es un fallo activo aún.
Objetivo: bloquear tu número
El objetivo que querría conseguir el hacker es bloquear tu cuenta, y para ello necesitaría registrar tu número de teléfono en otro dispositivo para que tú como propietario de este no pudieses utilizarlo nunca más a través de WhatsApp. Para todo ello usaría la fuerza bruta.
Como bien sabes, al intentar registrar tu número en WhatsApp, la app te envía un código a través de SMS. Bien, el hacker que tuviese conocimiento de tu número haría lo mismo, por lo que tú comenzarías a recibir de forma seguida esos SMS para intentar verificar el teléfono.
Probablemente no le hagas caso, pero aquí está precisamente el primer inconveniente. Tu podría estar usando WhatsApp de manera normal y al mismo tiempo recibir estos SMS, pero lo ignorarías porque tu cuenta está en uso y no hay forma de introducir dichos códigos.
Esto quiere decir que alguien estaría intentando registrar tu número en otro teléfono sin que tú lo sepas, y de ahí esa continua recepción de mensajes SMS. Pero hay un límite y llega un momento en que se bloquea la posibilidad de envío de SMS para recibir el código.
Bloqueada esa opción, el hacker ahora podría suplantar tu identidad y envía un correo poniéndose en contacto con WhatsApp a través de una cuenta de Gmail, pidiendo que desactiven tu número por un supuesto robo o pérdida de cuenta, cuando en realidad no es así.
El problema es que WhatsApp no sabe exactamente si esto se lo has pedido tú, es decir, no preguntaría si quién dice ser el propietario realmente lo es, así que podría perfectamente bloquear el número sin tú saberlo porque es el atacante quien ha informado que ese número necesitas que sea deshabilitado.
Si WhatsApp efectivamente contesta a esa petición realizada por el atacante que tiene como objetivo desactivar tu perfil de WhatsApp, es probable que en pocas horas aparezca el temido mensaje en la app como que tu número ya no se encuentra registrado en tu teléfono, para lo que te pide verificar nuevamente el número.
Y es aquí cuando viene el problemón, al intentar registrar de nuevo el número en WhatsApp el usuario comienza a darse cuenta de que no le llega ningún SMS y además le avisa de que su número ha intentado registrarse recientemente, algo muy sospechoso.
¿Por qué es sospechoso? Porque hasta ahora el usuario no había realizado ninguna verificación previa, es decir, que realmente quien habría intentado verificar el número es el hacker y no el propietario real del número, por lo que aquí es cuando comienza el sentimiento de confusión.
Ahora es posiblemente cuando la víctima empiece a recordar los continuos mensajes SMS que le llegaban al principio, pero por más que intentas con alguno de ellos, no hay forma de que WhatsApp te verifique el número. Llega otro momento en que se bloquea la recepción de SMS y hasta dentro de 12 horas no puedes volver a pedir más.
El hacker ahora esperaría esas 12 horas y volvería a comenzar de nuevo todo el procedimiento, por lo que posiblemente comenzarías a recibir nuevamente más SMS, con lo que no puedes activar tu cuenta de WhatsApp. Cuando llega el tercer ciclo de llegada de SMS, se bloquea.
Es decir, llega un momento en que deja de funcionar el envío de códigos a través de SMS y tu cuenta queda bloqueada, sin posibilidad de recuperarla, a menos que WhatsApp te ayude y te permita recuperarla, algo poco probable.
Como habrás podido observar, se encadena una serie de hechos que terminan con tu número bloqueado para el uso con WhatsApp, llegan al límite de recepción de SMS y se hacen pasar por ti para contactar con la app para desactivar tu perfil, algo muy preocupante.
Cualquier persona con malas intenciones podría bloquear tu número para que no puedas usarlo más en WhatsApp, así que toma medidas para evitar que eso ocurra. Activa la verificación en dos pasos y asocia un correo a la misma, y a la mínima que notes la llegada de SMS con código para verificar tu número en WhatsApp no pedidos por ti, ponte inmediatamente en contacto con WhatsApp.
Habrá que ver si WhatsApp corrige este importante fallo de seguridad, por lo pronto no hay constancia oficial de que así haya sido, pero seguramente podamos conocer algo al respecto más pronto que tarde y que así ya no puedan desactivar nuestra cuenta de WhatsApp.
Vía: Forbes
- Ver Comentarios