Un fallo de WhatsApp deja bloquear cualquier cuenta conociendo el número de teléfono

[valalca]

Una nueva vulnerabilidad de WhatsApp puede conseguir que bloqueen nuestra cuenta de forma permanente, incluso aunque estemos usando la aplicación con total normalidad.

Se ha descubierto un nuevo fallo de ciberseguridad, esta vez en WhatsApp. Un fallo descubierto por los investigadores especializados en la materia ubicados en España Ernesto Canales Pereña y Luis Márquez Carpintero. Tal y como recoge la revista Forbes, la vulnerabilidad tiene un gran alcance para muchos usuarios.

Tanto es así que están afectados, irónicamente, incluso los usuarios que han activado la verificación en dos pasos, la medida de seguridad extra que siempre recomendamos activar. Y es que el problema reside en varios procesos de la aplicación que, explotados, permitirían incluso el bloqueo de las cuentas.

El procedimiento para explotar la falla permite a los atacantes conseguir bloquear de forma permanente cuentas mediante los SMS de verificación y cuentas de correo electrónico. Y como veremos a continuación, es relativamente fácil seguirlo por completo.

Vulnerabilidad en WhatsApp

Cualquier usuario puede introducir el número de teléfono de un usuario de WhatsApp para solicitar el código SMS o la llamada de verificación. Ya esto de por sí se podría considerar una vulnerabilidad, ya que los ciberdelincuentes pueden llevar a cabo este proceso aún con la cuenta en uso normal.

Es decir, que aunque el usuario pueda seguir usando su cuenta y la esté utilizando de forma completamente normal, un atacante puede usar su número para solicitar ese SMS. Y es aquí donde el problema se hace todavía más grande, ya que si el atacante sigue solicitando el SMS que obviamente no podrá introducir ya que lo recibirá la víctima, este podrá elegir que la app envíe un código nuevo en un plazo de 12 horas.

En ese lapso de tiempo, se bloquea la introducción de códigos de seguridad. Es en ese preciso instante cuando los atacantes envían un mensaje de correo electrónico al soporte de WhatsApp a través de un nuevo correo con un mensaje claro: la cuenta ha sido robada y pide que se desactive el número.

Ya que WhatsApp no tiene ninguna forma de saber si la persona que ha enviado dicho correo es la dueña de la cuenta, se toman medidas preventivas. La cuenta deja de funcionar en el teléfono de la víctima y una notificación le advertirá de que su número de teléfono ya no está registrado en WhatsApp en este teléfono.

El gran problema es que la víctima no podrá volver a registrar WhatsApp en su teléfono. Se muestra un mensaje de error tanto para el atacante como para la víctima: quedan "-1 segundos" para poder generar una nueva clave. Así, la cuenta del usuario se bloquea de forma indefinida y la única manera de recuperarla es si el usuario contacta directamente con el soporte para la revisión del caso.

Si bien es cierto que todo esto parece un proceso muy enrevesado y es fácil pensar que puede no afectarnos, no deja de ser una vulnerabilidad grave que, de explotarse debidamente, puede llegar a bloquear cuentas permanentemente. WhatsApp no ha confirmado a Forbes si tiene intención de solucionar este problema.

omicrono.com / Manuel Fernández, 13 abril, 2021