Un fallo de WhatsApp permite bloquear la cuenta de cualquier usuario en 5 minutos

Todas las cuentas de WhatsApp están en peligro por culpa de un simple fallo de seguridad. Así puedes evitarlo.

Un fallo de WhatsApp permite bloquear la cuenta de cualquier usuario en 5 minutos
El icono de la app de WhatsApp.

Los investigadores especializados en ciberseguridad, Luis Márquez Carpintero y Ernesto Canales Pereña, han descubierto un método que permite bloquear el acceso a cualquier cuenta de WhatsApp, a través de un proceso que no toma mucho más de cinco minutos. Todo se debe a una vulnerabilidad descubierta en la plataforma, que podría llegar a afectar a millones de personas en todo el mundo.

Tal y como los investigadores explican a Forbes, los atacantes solo necesitarían conocer el número de teléfono de sus víctimas para llevar a cabo el ataque. Y teniendo en cuenta que la propia Facebook dejó públicos los números de teléfono de más de medio millón de personas, no debería ser demasiado difícil para estos atacantes dar con el número de sus objetivos.

¿En qué consiste la vulnerabilidad?

El proceso de verificación en dos factores que WhatsApp habilita por defecto al crear una cuenta en el servicio es uno de los elementos más débiles de la aplicación, dado que entra en juego el factor humano y los atacantes pueden aprovecharse de ello para acceder a las cuentas de sus víctimas.

El funcionamiento de este sistema es sencillo: cuando se descarga la app de WhatsApp en un móvil, se pide introducir el número de teléfono y, posteriormente, un código recibido por SMS para verificar la cuenta. Si el código es correcto, la app solicitará el código de verificación en dos factores para identificar al usuario.

No obstante, cualquiera puede introducir un número de teléfono de otra persona al instalar WhatsApp en un dispositivo. Cuando un atacante tiene el objetivo de bloquear la cuenta de su víctima, introduce el número de esta, solicitando el código de verificación que le permita verificar a la cuenta.

Pero dado que dicha cuenta se encuentra iniciada en el móvil de su víctima, esta comenzará a recibir códigos de verificación y notificaciones que indican que se está intentando iniciar sesión en otro dispositivo. Lo más lógico sería ignorar dichas notificaciones, ¿no?

El problema es que, cuando se ha solicitado un número determinado de códigos en un breve espacio de tiempo, WhatsApp bloqueará el intento de acceso a la cuenta durante 12 horas, impidiendo realizar nuevos intentos de inicio de sesión. Esto, en principio, no debería ser un problema para la víctima a menos que decida cerrar sesión de su cuenta --por ejemplo, para cambiar de móvil--.

Pero es en este momento cuando el atacante llevaría a cabo el último paso en su objetivo de bloquear la cuenta de su víctima. Para ello, basta con enviar un mensaje de correo electrónico a la cuenta de soporte de WhatsApp, solicitando el cierre de la cuenta, alegando que esta podría haber sido robada. Dicho mensaje contiene el número de teléfono de la víctima.

Cuenta de WhatsApp borrada

El correo con el que WhatsApp afirma haber suspendido la cuenta de un usuario.

Poco tiempo después, un correo electrónico generado automáticamente por WhatsApp es recibido por el atacante, en el que se indica que la cuenta de WhatsApp se ha suspendido correctamente. Y poco después, la víctima ve cómo su cuenta de WhatsApp ha sido eliminada de su móvil, y ya no puede utilizar la aplicación de mensajería.

Al intentar volver a iniciar sesión, la víctima ve cómo existe una restricción que impide recibir nuevos códigos de verificación hasta pasadas 12 horas, debido al bombardeo de intentos de inicio de sesión realizado por el atacante unos minutos atrás. Y en caso de intentar introducir alguno de los códigos que se han recibido anteriormente por SMS, el contador de horas continuará aumentando.

Aquí, entra en juego lo que parece ser un bug de WhatsApp. Y es que al intentar iniciar sesión en la cuenta cuando ya se ha intentado previamente y los intentos han sido bloqueados durante 12 horas, WhatsApp puede mostrar el texto "Has intentado iniciar sesión demasiadas veces. Inténtalo de nuevo en -1 segundos". Ahora, el desastre en prácticamente inevitable y esperar a que la aplicación permita volver a probar nuevos códigos es simplemente inútil. Solo queda intentar contactar con el soporte técnico de WhatsApp en busca de una solución.

Desafortunadamente, WhatsApp no parece tener intención de poner una solución efectiva a este problema. Alegan que "las circunstancias identificadas por los investigadores violarían los términos del servicio", pero dudo que eso vaya a ser un problema para futuros atacantes, dado que ni siquiera necesitan contar con un número de teléfono o tarjeta SIM asociados al móvil con el que se llevará a cabo el ataque: basta con tener una conexión Wi-Fi y un móvil con WhatsApp descargado.

Una de las maneras de intentar librarse de este tipo de ataques consiste en activar el sistema de verificación en dos pasos en WhatsApp, y asociar una dirección de correo electrónico. Eso podría facilitar las cosas a la hora de intentar recuperar la cuenta. O si no, también puedes hacer como Mark Zuckerberg y pasarte a una alternativa más segura, como SIgnal.

Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.

Para ti
Queremos saber tu opinión. ¡Comenta!