La empresa especializada en seguridad informática, ESET, alertó a usuarios sobre un fallo de WhatsApp, al que pueden recurrir los ciberdelincuentes y mediante el cual pueden llegar a suspender las cuentas utilizando solo el número de teléfono de los usuarios.
Al configurar una cuenta de WhatsApp por primera vez en un dispositivo, se solicita el número de teléfono para el envío de un código de verificación. Una vez que se ingresa el código, se solicitará la clave del doble factor de autenticación (2FA) para confirmar la identidad del usuario. Este ataque puntual, saca ventaja de un lapso en la seguridad de dos procesos independientes de WhatsApp, explican en un artículo sobre la investigación.
Sin embargo, no hay forma de evitar que alguien use cualquier número en el proceso de verificación. Si un atacante hiciera eso, el usuario recibiría llamadas y mensajes de WhatsApp con un código de verificación, junto con una notificación en la que lo insta a no compartir el código de registro con nadie. El ciberdelincuente podría hacer esto de forma reiterada, y el usuario quizás no le daría importancia a los mensajes considerando que se trata de un error.
Estas solicitudes activarían en última instancia el límite que establece WhatsApp para la cantidad de veces que se pueden enviar los códigos y también haría que se bloquee el ingreso del código después de varios intentos fallidos, en ambos casos durante 12 horas. Durante este tiempo la aplicación en el teléfono continuará funcionando con normalidad, pero el atacante habrá bloqueado la posibilidad de enviar un nuevo código o de ingresar un código en la pantalla de verificación. Por lo tanto, el tiempo fuera del servicio quizás no afecte al usuario, a menos que cierre sesión durante ese lapso.
A continuación, el atacante podría crear una nueva dirección de correo electrónico y enviar un correo al equipo de soporte de WhatsApp con el asunto “teléfono perdido/robado” solicitando que desactiven el número del usuario. La plataforma, al parecer, verificará la “identidad” solamente mediante el envío de un correo electrónico automático que solicita el número de teléfono del usuario, por lo que el atacante suplanta así la identidad del usuario legítimo.
De esta manera, el fallo de WhatsApp desactivará la cuenta, y dado que se había superado el límite de intentos de verificación, el usuario no podrá iniciar sesión hasta que pasen las 12 horas y se vuelva a solicitar el código de verificación.
Lamentablemente, si el atacante no se detiene y decide repetir tres veces seguidas este proceso que desencadena el bloqueo de 12 horas, WhatsApp fallaría y mostrará un mensaje que dice “intente nuevamente después de -1 segundo”. Los investigadores advierten que, si el atacante llega a ese punto, no habría forma de que el usuario recupere la cuenta a menos que encuentre a alguien en WhatsApp dispuesto a ayudar.
En declaraciones a la revista Forbes, un portavoz de WhatsApp dijo que “proporcionar una dirección de correo electrónico y el doble factor de autenticación ayudará a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.
El problema llamó la atención del especialista en seguridad de ESET, Jake Moore, quien recientemente mostró cómo alguien puede tomar el control de su cuenta de WhatsApp con solo saber tu número de teléfono. Moore advirtió que la nueva falla no debe tomarse a la ligera, especialmente porque podría afectar a millones y es relativamente fácil de lograr.
“No hay forma de optar por no ser descubierto en WhatsApp”, dijo. “Cualquiera puede escribir un número de teléfono para ver si existe una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos”.