Un fallo de WhatsApp puede dejarte sin 'app' en solo 12 horas

Dos investigadores han descubierto una nueva vulnerabilidad en la app de WhatsApp que puede suponer el bloqueo de la cuenta de cualquier usuario en solo 12 horas y solo conociendo en número de teléfono asociado a la misma.

Los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña se han puesto en contacto recientemente con el periodista especializado en seguridad y vigilancia la revista Forbes, Zack Doffman, para revelarle el hallazgo de esta vulnerabilidad y explicarle cómo los ciberdelincuentes pueden llevarla a cabo. Os trasladamos aquí sus explicaciones:

Fase 1: acabar con las oportunidades de verificar el número

El fallo detectado por Márquez y Canales se debe a dos procesos independientes de WhatsApp que, utilizados por un criminal y combinados, pueden acabar con el peor desenlace para el usuario, la pérdida de la cuenta.

La primera fase de este proceso que deja ver la vulnerabilidad de la app consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp en su terminal, aunque este ya esté utilizando la herramienta en su smartphone. Así, ante un intento de acceso malintencionado, el usuario real recibirá el código de verificación de seis dígitos mediante un SMS o a través de una llamada y además una notificación que le avise de la solicitud del código.

En este momento, el verdadero dueño de la cuenta no podrá hacer otra cosa que ignorar estos mensajes o ponerse en contacto con el soporte de la 'app', pues no los ha solicitado ni tiene opción alguna de introducirlos en su cuenta que sigue funcionando perfectamente mientras los ciberatacantes intentan acceder.

Una vez hechos los primeros intentos y con rapidez, los delincuentes podrán solicitar a WhatsApp la opción de que la plataforma les envíe un código nuevo en 12 horas y bloquear así la opción de introducción de códigos de seguridad en ese plazo de tiempo.

Fase 2: solicitar la desactivación de la cuenta

Por otro lado, como segunda fase del proceso, los hackers pueden enviar un correo electrónico al soporte de WhatsApp haciéndose pasar por el usuario y, con una excusa, solicitar la desactivación de la cuenta, un proceso que solo requiere la confirmación del número de teléfono asociado a la misma mediante un segundo correo y que parece ser automático por parte de la herramienta.

"No hay preguntas de seguimiento para confirmar que eres el propietario del número. Pero se ha activado un proceso de automatizado, sin su conocimiento, y ahora su cuenta se desactivará", explica el periodista.

Una vez solicitada la desactivación, el equipo de soporte de WhatsApp empieza el proceso para borrar la cuenta y entonces, aproximadamente una hora más tarde según la experiencia de los investigadores, la víctima recibe un mensaje en el que se la informa de que su número de teléfono ya no está asociado a ningún perfil.

"Su número de teléfono ya no está registrado con WhatsApp en este terminal. Si no lo hizo, verifique su número de teléfono para volver a iniciar sesión en su cuenta", reza el mensaje que recibirá la persona atacada.

En ese momento, tenga o no activada la autenticación de dos factores, el usuario solo puede intentar restablecer su cuenta introduciendo el número de teléfono y el código facilitado por WhatsApp. Sin embargo, debido a que los hackers han agotado los intentos, la víctima no recibirá ningún mensaje y aunque en ese momento recuerde que unas horas antes ha recibido varios mensajes con códigos, al introducirlos estos también darán error.

Es entonces cuando los atacantes abordarán la fase final. En el tercio final del ciclo de 12 horas, los hackers podrán repetir la operación y mandar otro correo electrónico a WhatsApp que derivará en un fallo de la app. "Lo has intentado demasiadas veces, inténtelo de nuevo después de 1 segundo", rezará el mensaje que recibirá la víctima, y entonces, ya será demasiado tarde y la única manera de recuperar la cuenta será ponerse en contacto con WhatsApp para que, de manera manual, le reactiven su cuenta.

 "La combinación de la arquitectura de verificación, los límites de SMS con códigos y las acciones automatizadas basadas en palabras clave por los correos electrónicos entrantes está abierta al abuso", concluye el periodista de Forbes después de hablar con los investigadores.