Si eres usuario de WhatsApp ya sabrás que a parte de buenas noticias con los términos y condiciones de uso, la aplicación no es muy segura que digamos. Ahora un nuevo fallo en WhatsApp permite que cualquier bloquee la cuenta de usuario de otra persona y el único requisito es conocer su número de teléfono.
Han sido los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, quienes han reportado el fallo de la aplicación, del cual se ha hecho eco Forbes, y que funciona hasta con el doble factor de autenticación activado.
El fallo de seguridad se debe a dos procesos independientes, que utilizados por algún gracioso amigo de lo ajeno, permite que se bloquee la cuenta y su propietario no pueda volver a acceder a ella.
¿Cómo funciona el fallo en WhatsApp?
El primer paso reside en la capacidad que tiene cualquier persona de introducir el número de teléfono de un usuario de la aplicación para configurar la cuenta en un nuevo dispositivo. En ese punto, el usuario real recibe un SMS de verificación (o llamada telefónica) con el código no solicitado. El problema es que, al introducir una clave errónea repetidas veces se puede seleccionar la opción de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad en este lapso de tiempo.
Paralelamente a esto, se envía un correo electrónico al soporte de WhatsApp, requieriendo que la cuenta sea desactivada por robo del terminal y sólo se nos pide confirmar el número de teléfono asociado a la cuenta.
Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.
Una vez enviado el correo, WhatsApp comienza la desactivación de la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado. En el momento en el que intenta restablecerla e introduce el número de teléfono, la aplicación no envía el código de verificación por SMS y recuerda que es necesario esperar doce horas por haberse realizado demasiadas solicitudes.
Una vez transcurridas las doce horas, si la víctima solicita el código de nuevo, le aparece un mensaje de WhatsApp que le avisa de que le quedan "-1 segundos" para poder generar una nueva clave SMS.
Es en ese momento cuando la cuenta del usuario queda bloqueada de forma permanente y la víctima solo podrá reactivarla si contacta directamente con el soporte de WhatsApp, según informan los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña.