WhatsApp contiene un nuevo fallo de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado.
La vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de doble factor que usa WhatsApp para incorporar una capa adicional de seguridad, de acuerdo con los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña.
El fallo de seguridad de la ‘app’ se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto.
El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp. El atacante no recibirá el código, ya que este llegará por SMS al teléfono del propietario legítimo, así que introducirá de manera errónea diferentes claves. Al introducir varias veces una clave incorrecta, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.
TE PODRÍA INTERESAR: Alimentos para ganar masa muscular
¡Cuidado! Detectan nueva vulnerabilidad de WhatsApp
omo segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.
WhatsApp recibe un correo electrónico que hace referencia a un número de teléfono pero no corrobora si viene de parte de un usuario legítimo. No hay preguntas de seguimiento para confirmar si la persona es la propietario del número.
Una vez hecho esto, el servicio de mensajería comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, la aplicación no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.
No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan “-1 segundos” para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.
De esta manera, la cuenta del usuario queda bloqueada de forma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si se contacta directamente con el soporte de WhatsApp para que se revise el caso manualmente.
Con información de Agencias