WhatsApp es la plataforma de mensajería instantánea más utilizada del mundo, con más de 2 mil millones de usuarios, y es por eso que el descubrimiento de una vulnerabilidad que permite bloquear cualquier cuenta con solo el número telefónico es tan preocupante.
Forbes reporta el descubrimiento de un fallo de WhatsApp por parte de los investigadores de seguridad Luis Márquez Carpintero y Ernesto Canales Pereña que permite bloquear una cuenta solo con el número telefónico, en un proceso que resulta muy sencillo y que cualquier persona con malas intenciones puede realizar.
Bloqueo en pocos minutos
Según los investigadores, un usuario con malas intenciones puede lograr la suspensión de cualquier cuenta de WhatsApp por al menos 12 horas, en un tan solo un par de minutos. El atacante solo tiene que solicitar la activación de la cuenta con el número telefónico a afectar, como cuando se instala WhatsApp en un nuevo dispositivo.
El atacante no podrá verificar la cuenta porque no recibirá el mensaje con el código de activación (ese lo recibirá el usuario, seguramente confundido por recibir el mensaje sin haberlo solicitado). Sin embargo, tras realizar varios intentos fallidos, el inicio de sesión se bloqueará por 12 horas, y aquí es donde viene la parte "mañosa" del bloqueo.
Con el inicio de sesión bloqueado, el atacante solo deberá enviar un correo al soporte de WhatsApp para solicitar el bloqueo de la cuenta, bajo el pretexto de que el smartphone en donde está activa la cuenta fue robado o perdido. WhatsApp no corrobora el correo del que se envía este mensaje y simplemente bloquea la cuenta, tal y como se solicita. El usuario verá desactivada su cuenta de WhatsApp en su smartphone, sin conocimiento de por qué, y no puede volver a iniciar sesión debido al bloqueo de 12 horas.
Después de que pasan las 12 horas, el atacante puede volver a realizar el mismo procedimiento y así encadenar varios bloqueos en la cuenta, sin que el usuario pueda hacer nada. Además, tras tres veces realizando el proceso, la cuenta de WhatsApp entra en un fallo que ya no muestra una cuenta regresiva para volver a solicitar un código para inicio de sesión, sino que se queda estancada en -1 segundo.
En este punto lo único que el usuarios puede hacer es contactar con el soporte técnico de WhatsApp y esperar que alguien pueda ayudarle a solucionar la solución. Además, es importante mencionar que no se logra acceso a la información de la cuenta, pero eso no le resta importancia a la situación pues es muy fácil cómo cualquier persona puede bloquear el acceso a una cuenta de WhatsApp, solo conociendo el número.
Una manera de evitar el bloqueo
Afortunadamente existe una manera para evitar este bloqueo. Un portavoz de WhatsApp dijo a Forbes que al activar la verificación en dos pasos elimina la posibilidad de lograr este bloqueo en la cuenta. El equipo de soporte verificará que el correo del que se recibe la solitud de bloqueo de la cuenta sea el mismo que el registrado en la verificación de dos pasos, y al no coincidir, no procederá con la suspensión de la cuenta.
Sin embargo, a pesar de lo útil de registrar un correo en una cuenta con la verificación de dos pasos de WhatsApp, no previene el ataque, pues se puede iniciar y será al llegar a la parte de pedir la suspensión por robo/extravío que se detendrá con la ayuda del equipo de soporte.
Ver 1 comentarios