WhatsApp: dos estudiantes descubren un fallo en la app que lleva años activo y que aún no ha sido corregido

Hoy traemos una nueva y desagradable sorpresa para los 2.000 millones de usuarios de WhatsApp, con el descubrimiento de un alarmante riesgo de seguridad. Utilizando sólo tu número de teléfono, un atacante remoto puede desactivar fácilmente WhatsApp en tu teléfono y luego impedir que vuelvas a entrar. Ni siquiera la autenticación de dos factores puede impedirlo. Así es como funciona el ataque.

WhatsApp: dos estudiantes descubren un fallo que lleva años activo y no ha sido corregido

Dos estudiantes e investigadores, Luis Márquez Carpintero y Ernesto Canales Pereña, advirtieron que podían hackear WhatsApp, bloqueando una cuenta usando sólo el número de teléfono de la víctima.

"Cada mes, vemos advertencias sobre diversos tipos de estafas, en las que se engaña a los usuarios para que entreguen el código de seis dígitos que se envía por SMS para activar una nueva instalación de WhatsApp. Y una vez que una cuenta ha sido secuestrada, su restauración puede llevar mucho tiempo y ser dolorosa. Incluso hemos visto historias sobre cuentas secuestradas que han provocado el bloqueo de otras cuentas.", comentan.

Y  por desgracia, ni siquiera la autenticación de dos factores de WhatsApp evita el ataque que está detrás de esta última advertencia. 

En detalle: ¿Cómo consiguen tener el control de una cuenta?

Cuando instalas por primera vez WhatsApp en tu teléfono, o cambias de teléfono, la plataforma te envía un código por SMS para verificar la cuenta. Cualquiera puede instalar WhatsApp en un teléfono e introducir su número en la pantalla de verificación. A continuación, recibirás textos y llamadas de WhatsApp con el código de seis dígitos. También verás una notificación de la aplicación de WhatsApp, en la que se te indica que se ha solicitado un código, advirtiéndote que no lo compartas.

Un atacante puede estar haciendo esto con su número de teléfono de WhatsApp mientras la persona sigue usando su app con normalidad. Solicitan códigos repetidos e introducen número al azar de forma intencionada e incorrectas en la app. La persona afectada recibirá los códigos por SMS, quizás también las llamadas.

El problema es que el proceso de verificación de WhatsApp limita el número de códigos que se pueden enviar. Después de unos cuantos intentos, el WhatsApp del atacante dirá: "Vuelva a enviar un SMS/llámeme en 12 horas", y así no se pueden generar nuevos códigos. WhatsApp también bloquea las entradas de códigos en la app después de un número de intentos.

Nada de esto debería ser un problema para el usuario, a menos que desactives WhatsApp en tu teléfono y tengas que volver a verificar, no hay ningún problema.  Lo que ocurre es que el atacante lo que hará, será registrar una nueva dirección de correo electrónico, y enviar un correo electrónico a support@whatsapp.com con el siguiente mensaje:

"Cuenta perdida/robada, el correo electrónico, dice, por favor desactive mi número. El atacante incluye su número".

WhatsApp ha recibido un correo electrónico que hace referencia a un número de teléfono. No tienen forma de saber si es realmente de la persona que ha enviado el correo pero por precaución, deciden, sin el conocimiento del propietario de la cuenta, desactivarla.  De esta forma deja de funcionar en el teléfono de la víctima y verá una notificación alarmante: "Su número de teléfono ya no está registrado en WhatsApp en este teléfono". 

Aquí es cuando ya, por desgracia, el teléfono de la víctima es tratado de la misma manera que el del atacante, y por lo tanto, si el atacante espera hasta ahora antes de enviar un correo electrónico al servicio de asistencia de WhatsApp para desactivar el número, no habrá manera de que vuelva a registrar WhatsApp en el teléfono cuando sea expulsado de la aplicación. Tendrá que ponerse en contacto con WhatsApp y tratar de encontrar a alguien que pueda ayudarle.

WhatsApp no le pone solución al problema

WhatsApp debería abordar este problema inmediatamente. Sin embargo, la plataforma no quiso confirmar que planea arreglar esta vulnerabilidad, a pesar de que puede ser explotada fácilmente y de forma anónima.