WhatsApp es la última gran tecnológica en sufrir un fallo de seguridad. Los Investigadores ubicados en España, Ernesto Canales Pereña y Luis Márquez Carpintero., han descubierto en la popular aplicación una vulnerabilidad que tiene un gran alcance debido al impacto que puede tener en la vida de muchos usuarios.
Tanto es así que están afectados, irónicamente, incluso los usuarios que han activado la verificación en dos pasos, la medida de seguridad extra que siempre recomendamos activar. Y es que el problema reside en varios procesos de la aplicación que, explotados, permitirían incluso el bloqueo de las cuentas, tal y como recoge la revista Forbes.
El procedimiento para explotar la falla permite a los atacantes conseguir bloquear de forma permanente cuentas mediante los SMS de verificación y cuentas de correo electrónico. Y como veremos a continuación, es relativamente fácil seguirlo por completo.
Vulnerabilidad en WhatsApp
Cualquier usuario puede introducir el número de teléfono de un usuario de WhatsApp para solicitar el código SMS o la llamada de verificación. Ya esto de por sí se podría considerar una vulnerabilidad, ya que los ciberdelincuentes pueden llevar a cabo este proceso aún con la cuenta en uso normal.
Es decir, que aunque el usuario pueda seguir usando su cuenta y la esté utilizando de forma completamente normal, un atacante puede usar su número para solicitar ese SMS. Y es aquí donde el problema se hace todavía más grande, ya que si el atacante sigue solicitando el SMS que obviamente no podrá introducir ya que lo recibirá la víctima, este podrá elegir que la app envíe un código nuevo en un plazo de 12 horas.
En ese lapso de tiempo, se bloquea la introducción de códigos de seguridad. Es en ese preciso instante cuando los atacantes envían un mensaje de correo electrónico al soporte de WhatsApp a través de un nuevo correo con un mensaje claro: la cuenta ha sido robada y pide que se desactive el número.
Ya que WhatsApp no tiene ninguna forma de saber si la persona que ha enviado dicho correo es la dueña de la cuenta, se toman medidas preventivas. La cuenta deja de funcionar en el teléfono de la víctima y una notificación le advertirá de que su número de teléfono ya no está registrado en WhatsApp en este teléfono.
El gran problema es que la víctima no podrá volver a registrar WhatsApp en su teléfono. Se muestra un mensaje de error tanto para el atacante como para la víctima: quedan "-1 segundos" para poder generar una nueva clave. Así, la cuenta del usuario se bloquea de forma indefinida y la única manera de recuperarla es si el usuario contacta directamente con el soporte para la revisión del caso.
Si bien es cierto que todo esto parece un proceso muy enrevesado y es fácil pensar que puede no afectarnos, no deja de ser una vulnerabilidad grave que, de explotarse debidamente, puede llegar a bloquear cuentas permanentemente. WhatsApp no ha confirmado a Forbes si tiene intención de solucionar este problema.
También te puede interesar...
- Cómo contestar WhatsApp sin que sepan si estás usando el teléfono
- WhatsApp para ordenador ya tiene videollamadas oficialmente: así se activa
- WhatsApp ahora permite descargar stickers exclusivos de cada país