una-vulnerabilidad-de-whatsapp-permite-bloquear-una-cuenta-solo-con-saber-su-numero-de-telefonoTecnología 

Una vulnerabilidad de WhatsApp permite bloquear una cuenta solo con saber su número de teléfono

La aplicación de mensajería WhatsApp, propiedad de Facebook, contiene un nuevo fallo de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado, en un proceso que puede llevarse a cabo en 12 horas.

Así lo alertaron los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, que explicaron que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de dos pasos que usa WhatsApp para incorporar una capa adicional de seguridad, como recoge Forbes.

El fallo de seguridad de la app se debe a dos procesos independientes en WhatsApp que, utilizados por un ciberdelincuente, le permiten bloquear una cuenta y evitar que el usuario pueda volver a acceder a ella.

Así funciona la vulnerabilidad de WhatsApp

La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp.

En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto.

El fallo de seguridad reside en que un tercero puede llevar a cabo este proceso mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp, solamente con conocer el número de teléfono de la víctima.


La nueva vulnerabilidad de WhatsApp le permite a un ciberdelincuente bloquear de forma permanente una cuenta. Foto: EFE.

Al introducir de forma repetida una clave SMS errónea -que el usuario ignorará porque no lo solicitó ni tiene la posibilidad de introducirlos-, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.

Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.

Tras esto, WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta.

Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.

No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan “-1 segundos” para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.

De esta manera, la cuenta del usuario queda bloqueada de forma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si contacta directamente con el soporte de WhatsApp para que revise el caso manualmente.

La palabra de la compañía

El servicio de mensajería no quiso estar al margen de esta revelación que deja expuesta una vulnerabilidad que, hasta ahora, pasaba desapercibida por los usuarios. 

“Proporcionar una dirección de correo electrónico al activar la verificación en dos pasos ayuda a nuestro equipo de atención al cliente para que puedan asistir a las personas que enfrenten este problema poco probable”, aclaró una fuente de WhatsApp.

“Las circunstancias identificadas por estos investigadores violarían nuestros Términos de Servicio y recomendamos que los usuarios que necesiten ayuda se contacten por email con nuestro equipo de soporte para que puedan investigar el caso”, concluyeron.

SL

TEMAS QUE APARECEN EN ESTA NOTA

Articulos relacionados