ESTADOS UNIDOS.- La aplicación de mensajería instantánea WhatsApp presenta una nueva falla de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono.
Este problema fue alertado por los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, quienes indicaron que este afecta incluso a quienes tengan activo el segundo factor de autenticación.
La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp y realizar una verificación de usuario en la plataforma.
Sin embargo, el atacante no recibirá el código, ya que este llegará por SMS al teléfono del propietario, así que introducirá de manera errónea diferentes claves, luego los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad en ese lapso.
Como segunda parte de la vulnerabilidad, los atacantes pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este paso solo se requiere confirmar el número de teléfono asociado a la cuenta.
WhatsApp recibe un correo electrónico que hace referencia a un número de teléfono pero no corrobora si viene de parte de un usuario legítimo, ya que no hay una validación para confirmar si la persona es la dueña del número.
Una vez hecho esto, el servicio de mensajería comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, la aplicación no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.
No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan “-1 segundos” para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.
De esta manera, la cuenta del usuario queda bloqueada de forma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si se contacta directamente con el soporte de WhatsApp para que se revise el caso manualmente.
La combinación de la forma en que se realiza la verificación de la cuenta, sumado a los límites de códigos erróneos que se pueden introducir y las acciones automatizadas basadas en pedidos por correos pueden generar este tipo de abusos que podrían derivar en bloqueos de cuentas.
¿Qué hacer ante estos casos?
Un vocero de WhatsApp consultado por el mencionado sitio de noticias dijo que “proporcionar una dirección de correo electrónico con la verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco habitual. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar “.
Además de registrar un correo a la hora de activar el segundo factor de autenticación, no bien se note algo extraño como la recepción de mensajes con códigos de activación de WhatsApp que no fueron solicitados, se recomienda contactar de inmediato al equipo de soporte para adelantarse a que ocurra un bloqueo del sistema pasadas las 12 horas.