Un fallo de WhatsApp ha permitido a un atacante que bloquee cualquier número para siempre

Una falla que ha sido alarmante de la seguridad de WhatsApp, va a poder hacer que un atacante bloquera una manera permanente la cuenta de cualquier usuario solamente con conocer su número de teléfono. Las víctimas que son potenciales son sus 2.000 millones de usuarios. Le va a poder pasar a cualquiera y no va a depender de las precauciones que vaya a tomar este usuario. El error no se encuentra en el software, pero en la concepción de los sistemas de autenticación de la propia app. Este problema fue descrito por el especialista en ciberseguridad Zak Doffman en Forbes. El atacante podría llegar a desactivar de una manera remota la app de mensajería en el móvil de su víctima.

Este problema se encuentra en los procesos que se encuentra siguiendo WhatsApp para activarse. En tanto se instala por primera vez o hace un cambio de móvil, la app le va a pedir un número de teléfono al usuario. Al este introducirlo, la compañía va a enviar un código a través de SMS que se va a tener que introducir para que se verifique esta cuenta. En tanto que es introducido, el usuario va a tener que colocar de igual forma su número de autenticación de dos factores, un PIN que tiene seis cifras que funciona para que nadie se vaya a identificar en la cuenta de manera fraudulenta. Este va a ser el primer punto débil.

Cualquier persona que tiene WhatsApp va a poder colocar el teléfono de una víctima en el proceso de verificación. El objetivo que tiene este delincuente no va a ser en este caso el lograr apropiarse de su cuenta, sino su bloqueo, debido a que va a lograr conseguir que una persona se quede sin poder utilizar la app de mensajería, dejandolo incomunicado en dicha plataforma.

En tanto el atacante ha enviado el número de teléfono de su víctima, esta va a recibir el código de verificación de WhatsApp, sin embargo no hay nada que pueda hacer con este. No posee un cuadro en el que introducirlo. Ha sido exolicado por Doffman, que el atacante va a poder continuar realizado esto de manera repetida e introducir códigos que son incorrectos de manera repetida. Los que han descubierto dicho problema que ha explicado el especialista son los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña. “Cuando me advirtieron que podían matar WhatsApp en mi teléfono, bloqueándome desde mi propia cuenta usando sólo mi número de teléfono, dudé. Pero tenían razón”, ha explicado.

El proceso de verificación de WhatsApp limita el número de códigos que se pueden enviar y, después de varios intentos fallidos por parte del atacante, le indica que no podrá volver a intentarlo hasta dentro de 12 horas. WhatsApp sigue en ese momento funcionando de forma normal en el móvil del usuario legítimo, pero la cuenta atrás para el bloqueo completo acaba de empezar.

El atacante en ese momento va a registrar una nueva dirección de correo electrónico como usuario y va a envíar un mensaje al servicio de atención al usuario de WhatsApp para que se restablezcan cuentas perdidas o robadas. En su mensaje, ha reclamado la desactivación del número de teléfono. WhatsApp le podría enviar un correo de respuesta solicitandole el número nuevamente. Como le ha llegado a él, va a poder proporcionar la respuesta. La víctima continua ajena a dicho proceso.

WhatsApp recibió un correo electrónico junto a la referencia de un número de teléfono sin tener un proceso para que se confirme a quién le pertenece. Todo este va a ser un proceso que es automático. Una hora más tarda, la cuenta va a ser desactivada y WhatsApp va a dejar de funcionar en el teléfono de la víctima, a la que va a indicar que ”su número de teléfono ya no está registrado en WhatsApp en este teléfono». «Esto puede deberse a que lo has registrado en otro teléfono —indica la app—. Si no lo hiciste, verifica tu número de teléfono para volver a entrar en tu cuenta».

En tanto la víctima comienza su proceso normal de activación, soliva a solicitar un código de verificación por medio de SMS, sin embargo no va a recibir nada, debido a que se encuantra en dicho periodo de bloqueo de 12 horas que fue provocado por el atacante. En dicho momento, a pesar de que rememore que ha recibido previamente un código que no va a tener donde introducir, porque no le sirven, ya que WhatsApp le ha dicho que lo ha probado muchas veces. Quien lo ha hecho ha sido el atacante.

La víctima no puede solicitar un nuevo código ni introducir el correcto. Se ha quedado sin WhatsApp temporalmente. Si el atacante no sigue, al terminar el periodo de 12 horas, el usuario puede volver a solicitar un SMS y activar de nuevo su cuenta. Si el atacante, al final de cada fase de bloqueo, se adelanta al propietario legítimo del número, después de tres ciclos. Ya no ofrece 12 horas de espera, sino “-1 segundos”. Bloqueo completo.

Patiendo de dicho momento, si el atacante ha enviado un correo electrónico al servicio de soporte de WhatsApp para que se desactive su número, no se va a poder a activar nuevamente la app en el móvil de la víctima. Los investigadores han estimado que a partir de dicho momento “es demasiado tarde” y han recomendado ponerse en contacto junto a la compañía para intentar encontrar alguien que vaya a poder ayudarle.

Doffman se ha puesto en contacto con WhatsApp y ha recibido una respuesta de un portavoz: “proporcionar una dirección de correo electrónico con la verificación en dos pasos ayuda a nuestro equipo de atención al cliente a ayudar a las personas si alguna vez se encuentran con este problema improbable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquiera que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.

Adicionalmente de utilizar el proceso de verificación en solamente dos pasos de WhatsApp, de igual forma es conveniente que los usuarios vayan a proporcionar un correo que se encuentra asociado que le vaya a permitir comenzar a solucionar el problema en el caso de que comience a recibir códigos que no se solicitaron.

 

Dejar respuesta

Please enter your comment!
Please enter your name here