WhatsApp es la plataforma de mensajería con más usuarios en el mundo, por ello no es extraño que los delincuentes informáticos quieran aprovecharla para sacar ventaja y robar datos y dinero de las personas. Si bien el éxito de muchas de las estafas que circulan dependen de que las posibles víctimas hagan algo, como dar clic en enlaces maliciosos y compartan la información, también hay vulnerabilidades en el sistema, y hay una que permite bloquear cuentas con solo conocer el número.
De acuerdo con Forbes, en su versión en inglés, los especialistas en seguridad informática Luis Márquez Carpintero y Ernesto Canales Pereña, descubrieron que con solo saber el número de teléfono, un atacante remoto puede desactivar fácilmente WhatsApp en el celular y luego evitar que vuelva a ingresar. Lo peor es que incluso la autenticación de dos factores no es capaz de detener esto.
Los investigadores explicaron que esta vulnerabilidad de seguridad recientemente revelada involucra dos procesos de WhatsApp. La primera debilidad encontrada está relacionada con el proceso de verificación. Recordemos que cuando se instala WhatsApp por primera vez en un teléfono la plataforma envía un código SMS para verificar la cuenta, en el mensaje se incluye una notificación advirtiendo que el número no debe compartirse, por favor haz caso a esa recomendación pues los atacantes están utilizando esa táctica para robar cuentas. Le hablan a la persona diciendo que ganaron un premio o que obtendrán algún beneficio, pero necesitan ese código de verificación.
Sin embargo, el problema con la vulnerabilidad de la que te estamos hablando es que no depende de una acción por parte del usuario. La mayoría de las personas ya saben que no deben compartir su código, lo que desconocen es que la aplicación limita la cantidad de verificaciones que se pueden hacer. Así, el delincuente que quiere afectar una cuenta solo tiene que pedir iniciar sesión usando el número de teléfono e inventar el código de verificación, después de varios intentos, verá un mensaje que dirá: “lo has adivinado demasiadas veces … inténtalo de nuevo en 12 horas”.
El dueño de ese número de teléfono podrá seguir utilizando WhatsApp normalmente sin saber que el atacante ha bloqueado cualquier código nuevo para que no se inicie sesión en una pantalla nueva durante al menos 12 horas. Hasta aquí no parece preocupante, el problema viene con el segundo proceso.
Aquí viene el proceso para desactivar la cuenta
Una vez que se ha bloqueado el envío de nuevos códigos, el atacante abre una dirección de correo electrónico, por ejemplo en Gmail, y envía un correo a [email protected] afirmando que su cuenta ha sido perdida o robada y que, por ello, solicitan que se desactive su número que, en realidad, es el de la víctima. Entonces, en la mayoría de los casos WhatsApp envía una respuesta automática solicitando el número nuevamente y, al recibirlo, procede a bloquear la cuenta sin hacer antes una confirmación para saber que se trata del legítimo propietario del número.
Los especialistas explicaron que, alrededor de una hora después, WhatsApp deja de funcionar en el teléfono y muestra una notificación alarmante: “Su número de teléfono ya no está registrado con WhatsApp en este teléfono. Esto podría deberse a que lo registró en otro teléfono. Si no lo hizo, verifique su número de teléfono para volver a iniciar sesión en su cuenta”.
Entonces el usuario intenta volver a iniciar sesión y pedir el código de verificación pero, sorpresa, el sistema le informa que ya ha intentado hacerlo demasiadas veces por lo que deben esperar, es probable que unas 10 a 11 horas.
Si el ataque se detiene en ese momento no pasa de la molestia de tener que solicitar un nuevo SMS y verificar la cuenta horas después. El problema es que pueden ir más allá y volver a pedir el código una y otra vez hasta que, en el tercer ciclo de 12 horas, el mensaje cambiará: “Lo has intentado demasiadas veces. Inténtalo de nuevo después de -1 segundo” lo que significa que ya no habrá forma de que vuelvas a registrar tu teléfono en WhatsApp. La única opción es ponerse en contacto con la empresa e intentar encontrar a alguien que pueda ayudarte.
Hay que señalar que todo el proceso de la cuenta tarda al menos 36 horas en ejecutarse y parece demasiado complicado como para atraer a un ciberdelincuente pues, al final, no se obtiene algún beneficio como el robo de información o dinero. Aun así hay que estar alertas.
¿Qué dice WhatsApp?
En respuesta a la divulgación de esta información, un portavoz de WhatsApp declaró a Forbes: “proporcionar una dirección de correo electrónico con su verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.
Es decir que WhatsApp no confirmó que planea desarrollar una solución a esta vulnerabilidad, a pesar de que puede explotarse de forma fácil y anónima.
Entonces la recomendación es activar el doble factor de autenticación para ayudar a evitar un secuestro de la cuenta, y también incluir una dirección de correo electrónico para ayudar en caso de que seas víctima del escenario anterior. Además es muy importante que estés atento a las advertencias de que alguien ha solicitado códigos de verificación y, si eso persiste, comunícate con el Soporte de WhatsApp de inmediato.
Mantente informado las 24 horas, los 7 días de la semana. Da click en el enlace y descarga nuestra App!