WhatsApp podrá ser la aplicación más usada en el mundo, pero está lejos de ser perfecta. Un grupo de investigadores españoles han descubierto un importante fallo de seguridad que permite a los hackers bloquear una cuenta con solo el número telefónico, incluso si la víctima tiene activada la autenticación a dos pasos.
Luis Márquez Carpintero y Ernesto Canales Pereña, de la Universidad de Alicante, advirtieron del fallo de seguridad a Forbes y explicaron que está relacionado con el procedimiento que usa WhatsApp a la hora de verificar los nuevos registros de teléfonos.
Usualmente, cuando los usuarios registran sus teléfonos, el sistema envía un código SMS para verificar la cuenta. El fallo de seguridad sucede cuando el atacante, a través del número de la víctima, hace el registro de la cuenta desde otro teléfono. La víctima recibirá el código SMS y solo deberá ignorarlo para no perder la cuenta. Sin embargo, cuando el atacante insiste con el envío de los códigos SMS, WhatsApp bloqueará cualquier envío de nuevos códigos al número telefónico de la víctima.
Hecho esto, el atacante enviará un correo electrónico con alguna cuenta que se haya creado a support@whatsapp.com, solicitando que desactiven el número telefónico por tratarse de una cuenta perdida o robada. Los desarrolladores de WhatsApp confirmarían que, efectivamente, el número telefónico del reclamo está bloqueado por numerosas peticiones de validación y procederán con el bloqueo de la cuenta.
La víctima recibirá una notificación donde se le dice que su número ha sido desactivado, a pesar de que se trate de una operación fraudulenta. No quedará otra que verificar el número telefónico para volver a iniciar sesión.
El problema es que el número estará bloqueado para recibir SMS durante 12 horas. El atacante, por lo tanto, podría repetir el procedimiento hasta en tres oportunidades, cuando WhatsApp decide bloquear de forma permanente la recepción de SMS en el número telefónico de la víctima.
“Proporcionar una dirección de correo electrónico con la verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”, precisan desde WhatsApp.
WhatsApp no ha confirmado si habrá cambios en su sistema de seguridad en futuras actualizaciones.
Escucha Dale Play en Spotify y Spreaker. Sigue el programa todos los domingos en nuestras plataformas de audio disponibles.
Contenido GEC