Dos investigadores han podido comprobar cómo cualquiera podría bloquear cuentas de WhatsApp solo con conocer un número de teléfono. Para ello, habría simplemente que pedir activar cierto número de teléfono en la app instalada en cualquier teléfono.
A la víctima le llegaría el típico SMS que envía WhatsApp a cualquiera que quiere activar una cuenta de la aplicación en su número:
"Codigo de WhatsApp: (seis dígitos, separados en grupos de tres con un guión)
O sigue este enlace para verificar tu numero: (enlace que comienza con la letra v y un punto)
No compartas este codigo con nadie
La falta de tildes sería también parte de este SMS, como sucede siempre que recibes estas comunicaciones de WhatsApp. Ahora bien, quien no ha pedido ningún código de WhatsApp, podría llegar a ser víctima de un ataque cuyo objetivo final sea bloquear el acceso a la cuenta de un usuario. Lo curioso, según los investigadores que han demostrado esto a Forbes, es que todo este proceso sería cero sofisticado y se aprovecharía de dos grandes vulnerabilidades de seguridad de la app.
Según han explicado los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña a Forbes, un atacante podría bloquearnos desde nuestra propia cuenta usando solamente nuestro número de teléfono.
Cómo puede alguien llegar a bloquear tu cuenta de WhatsApp fácilmente
El fallo de seguridad se aprovecharía de fallos propios de WhatsApp. Hay que tener en cuenta que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp en su dispositivo. Cuando los atacantes lo hacen, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación dentro de la plataforma de mensajería avisando de la solicitud del código. Aunque no sea él quien ha solicitado este código. El usuario recibe ese código pero puede seguir usando de forma normal su cuenta de WhatsApp.
Los atacantes pueden, al mismo tiempo, enviar un correo electrónico al soporte técnico de WhatsApp para informar de que su teléfono ha sido robado y que quieren desactivar la cuenta asociada indicando el número que buscan bloquear. En este proceso, el atacante solo deberá confirmar el número de teléfono asociado a la cuenta. Aquí está el segundo error básico de WhatsApp del que se aprovecha este ataque. La empresa no hace un seguimiento para saber si esta información recibida por mail es real.
Tras esto puede suceder que el soporte técnico de WhatsApp arranque el proceso para desactivar la cuenta. La víctima recibirá una notificación que avisa de que su número ya no está asociado a la cuenta. Si el usuario lo intenta restablecer y para ello incluye su número de teléfono, la aplicación no envía un nuevo código por SMS y avisa de que es necesario esperar doce horas.
El bloqueo se debe a que se han realizado varias solicitudes antes. Después de esas doce horas de bloqueo, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan “-1 segundos” para poder generar una nueva clave SMS, como se puede ver en la siguiente captura de pantalla compartida por los investigadores con Forbes:
Llegados a este punto "no habrá forma de volver a registrar WhatsApp en el teléfono cuando te echen de la aplicación" y el usuario tiene que ponerse en contacto con WhatsApp para poder hacerlo.
Para los expertos el problema reside en que no es un ataque sofisticado y lo que hace es aprovecharse de las debilidades de WhatsApp en cuanto a seguridad. Además, un usuario puede ser víctima de este ataque que le dejará sin su cuenta incluso aunque tenga activada la verificación en dos pasos, como han podido comprobar los investigadores.
Hemos consultado a los portavoces de WhatsApp a este respecto y estamos a la espera de su respuesta.
El pasado mes de febrero, usuarios de Whatsapp fueron víctimas de un engaño que permitía a los atacantes robar la cuenta de WhatsApp. Para ello, uno de los propios contactos de la víctima era el vector del ataque. La víctima recibía un código en su SMS para activar su cuenta y luego un contacto le escribía para pedirle ese número. Si la víctima caía en la trampa, el atacante podía robarle la cuenta desde otro teléfono.
Ver 6 comentarios