La aplicación de mensajería WhatsApp, utilizada por más de 2.000 millones de usuarios en todo el mundo, contiene un nuevo fallo de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario en apenas 12 horas con solo conocer su número de teléfono asociado.
Los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña han explicado que el nuevo fallo de seguridad de WhatsApp afecta también a los usuarios que tienen activado el sistema de autenticación de dos pasos y/o doble factor.
Márquez Carpintero y Canales Pereña indicaron que el fallo de seguridad de WhatsApp se debe a dos procesos independientes en esta aplicación, pero que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
La vulnerabilidad de WhatsApp en dos partes
El fallo de seguridad de la aplicación móvil se debe a dos procesos independientes en WhatsApp. La primera parte de la vulnerabilidad de la app consiste en que cualquier persona puede introducir el número de teléfono de un usuario. Si esto sucede, la víctima recibirá un código de verificación de seis dígitos vía SMS o por llamada. Además, recibirá una notificación con el aviso de la respectiva solicitud del código, el cual contará con el indicativo de que no se debe de compartir con nadie en ninguna circunstancia.
Pareciera que esto no ya se sabe y que el usuario de WhatsApp está seguro. Sin embargo, el problema real está en que los cibercriminales. Ellos pueden, solamente con conocer el número de teléfono de la víctima, efectuar este proceso mientras el usuario sigue utilizando de forma normal su cuenta.
Los cibercriminales actúan y al introducir de forma constante una clave SMS errónea, los intrusos pueden elegir una alternativa que WhatsApp brinda, la cual consiste en solicitar el envío de un código nuevo dentro de doce horas y que, al hacerlo, bloquea automáticamente el ingreso de códigos de seguridad mientras tanto (durante esas doce horas).
Márquez Carpintero y Canales Pereña explicaron a Forbes que, en la segunda parte de la vulnerabilidad de WhatsApp, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte que brinda la app, en el que pueden avisar de un supuesto robo del dispositivo y a su vez piden que se desactive la cuenta. Lo delicado de esta opción es que, para efectuarlo, WhatsApp solo pide confirmar el número de teléfono asociado a la cuenta.
Después de que el cibercriminal ejecute esos pasos, WhatsApp comienza el proceso para desactivar la cuenta del usuario. Instantes después, la víctima recibe una notificación en la que se le indica que su número de teléfono ya no está asociado a la cuenta.
Si el usuario intenta recuperar su cuenta e introduce su número telefónico, la aplicación no le enviará nuevo código SMS debido a que le notificará que deberá esperar doce horas por haber efectuado varias solicitudes con anterioridad.
Después de las doce horas, WhatsApp no restablecerá la cuenta ni enviará nuevo código. Lo que el usuario recibirá será una notificación que le queda poco tiempo para poder generar el nuevo código SMS (-1 segundos).
Este mensaje lo visualizará la víctima y el ciberdelincuente y la cuenta quedará bloqueada de forma permanente y de acuerdo con Márquez Carpintero y Canales Pereña, el usuario podrá reactivarla si tiene la suerte de contactar de forma directa con el soporte de WhatsApp para que su caso sea revisado a profundidad.
