Ciudad Guatemala

Falla de seguridad en WhatsApp permite bloquear la cuenta o eliminarla para siempre


Una vulnerabilidad de WhatsApp permite bloquear una cuenta solo con saber su número de teléfono.

  12 abril, 2021 - 13:06 PM

WhatsApp es una aplicación de mensajería instantánea que es utilizada por más de 2 mil millones de usuarios. En la actualidad, investigadores advirtieron que la app contiene un nuevo fallo de seguridad que pone vulnerables las cuentas.

De acuerdo con la publicación de medios internacionales como Forbes, los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, dijeron que el nuevo fallo de seguridad de WhatsApp permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado. Además, indicaron que ese proceso se puede llevar a cabo en doce horas y que afecta también a los usuarios que tienen activado el sistema de autenticación de dos pasos y/o doble factor.

Márquez Carpintero y Canales Pereña, indicaron que el fallo de seguridad de WhatsApp se debe a dos procesos independientes en esta aplicación, pero que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.

La vulnerabilidad de WhatsApp en dos partes

Según se publicó en Forbes, la primera parte de la vulnerabilidad de la app consiste en que cualquier persona puede introducir el número de teléfono de un usuario.

Si esto sucede, la víctima recibirá un código de verificación de seis dígitos vía SMS o por llamada. Además, recibirá una notificación con el aviso de la respectiva solicitud del código, el cual contará con el indicativo de que no se debe de compartir con nadie en ninguna circunstancia.

Pareciera que esto no ya se sabe y que el usuario de WhatsApp está seguro. Sin embargo, el problema real está en que los cibercriminales. Ellos pueden, solamente con conocer el número de teléfono de la víctima, efectuar este proceso mientras el usuario sigue utilizando de forma normal su cuenta.

Los cibercriminales actúan y al introducir de forma constante una clave SMS errónea, los intrusos pueden elegir una alternativa que WhatsApp brinda, la cual consiste en solicitar el envío de un código nuevo dentro de doce horas y que, al hacerlo, bloquea automáticamente el ingreso de códigos de seguridad mientras tanto (durante esas doce horas).

(Foto: WhatsApp)

Márquez Carpintero y Canales Pereña explicaron a Forbes que, en la segunda parte de la vulnerabilidad de WhatsApp, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte que brinda la app, en el que pueden avisar de un supuesto robo del dispositivo y a su vez piden que se desactive la cuenta. Lo delicado de esta opción es que, para efectuarlo, WhatsApp solo pide confirmar el número de teléfono asociado a la cuenta.

Después de que el cibercriminal ejecute esos pasos, WhatsApp comienza el proceso para desactivar la cuenta del usuario. Instantes después, la víctima recibe una notificación en la que se le indica que su número de teléfono ya no está asociado a la cuenta.

Si el usuario intenta recuperar su cuenta e introduce su número telefónico, la aplicación no le enviará nuevo código SMS debido a que le notificará que deberá esperar doce horas por haber efectuado varias solicitudes con anterioridad.

Después de las doce horas, WhatsApp no restablecerá la cuenta ni enviará nuevo código. Lo que el usuario recibirá será una notificación que le queda poco tiempo para poder generar el nuevo código SMS (-1 segundos).

Errores de la cuenta regresiva de verificación en el teléfono del atacante y de la víctima después del tercer ciclo de ataque. (Foto: WhatsApp)

Este mensaje lo visualizará la víctima y el ciberdelincuente y la cuenta quedará bloqueada de forma permanente y de acuerdo con Márquez Carpintero y Canales Pereña, el usuario podrá reactivarla si tiene la suerte de contactar de forma directa con el soporte de WhatsApp para que su caso sea revisado a profundidad.

Etiquetas:

Relacionado

ÚLTIMAS NOTICIAS