Si usas WhatsApp, es importante que tengas cuidado con un ataque al que pueden recurrir los ciberdelincuentes y mediante el cual pueden llegar a suspender tu cuenta utilizando solo tu número de teléfono. La falla de seguridad abusa de un lapso en la seguridad de dos procesos independientes de WhatsApp, explica Forbes en un artículo en el que cita una investigación de Luis Márquez Carpintero y Ernesto Canales Pereña.
A modo de contexto, cuando realizas por primera vez el proceso de configurar tu cuenta de WhatsApp en un dispositivo, se solicita tu número de teléfono para el envío de un código de verificación. Una vez que ingreses el código, se te solicitará la clave del doble factor de autenticación (2FA) para confirmar tu identidad.
Sin embargo, no hay forma de evitar que alguien use tu número en el proceso de verificación. Si un atacante hiciera eso, recibirías llamadas y mensajes de WhatsApp con un código de verificación, junto con una notificación que te insta a no compartir el código de registro con nadie. El delincuente podría hacer esto de forma reiterada, y tu quizás no le des importancia a los mensajes considerando que se trata de un bug.
Estas solicitudes activarían en última instancia el límite que establece WhatsApp para la cantidad de veces que se pueden enviar los códigos y también hará que se bloquee el ingreso del código después de varios intentos fallidos, en ambos casos durante 12 horas. Durante este tiempo la aplicación en tu teléfono continuará funcionando con normalidad, pero el atacante habrá bloqueado la posibilidad de enviar un nuevo código o de ingresar un código en la pantalla de verificación. Por lo tanto, el tiempo fuera del servicio quizás no te afecte, a menos que cierres sesión durante ese ínterin.
En el siguiente paso, el actor de amenazas podrá crear una nueva dirección de correo electrónico y enviar un correo al equipo de soporte de WhatsApp con el asunto “teléfono perdido/robado” solicitando que desactiven tu número. Al parecer, la plataforma verificará la “identidad” del atacante solamente mediante el envío de un correo electrónico automático que solicita nuevamente el número de teléfono del usuario, algo que enviará el atacante que suplanta la identidad del usuario legítimo. WhatsApp entonces se desactivará tu cuenta. Y dado que se superó el límite de intentos de verificación, no podrás iniciar sesión hasta que pasen las 12 horas y vuelvas a solicitar el código de verificación.
Lamentablemente, si el atacante no se detiene y decide repetir tres veces seguidas este proceso que desencadena el bloqueo de 12 horas, WhatsApp fallaría y, en lugar de pedirle al usuario que “intente nuevamente después de 12 horas”, mostrará un mensaje que dice “intente nuevamente después de -1 segundo”. Los investigadores advirtieron que, si el atacante esperaba hasta este punto, no habría forma de recuperar su cuenta a menos que encuentre a alguien en WhatsApp dispuesto a ayudar.
En declaraciones a Forbes, un portavoz de WhatsApp dijo que “proporcionar una dirección de correo electrónico y el doble factor de autenticación ayudará a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.
El problema llamó la atención del especialista en seguridad de ESET, Jake Moore, quien recientemente mostró cómo alguien puede tomar el control de su cuenta de WhatsApp con solo saber tu número de teléfono. Moore advirtió que la nueva falla no debe tomarse a la ligera, especialmente porque podría afectar a millones y es relativamente fácil de lograr.
“No hay forma de optar por no ser descubierto en WhatsApp”, dijo. “Cualquiera puede escribir un número de teléfono para ver si existe una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos”.