Imagen referencial. Investigadores españoles descubren una nueva falla de seguridad en WhatsApp. Pixabay
La llegada de un código de WhatsApp, que no se ha solicitado, puede ser una señal de que alguien está tratando de desactivar el servicio en su teléfono y debe reportarlo. Una falla en esta aplicación permite que otra persona pueda bloquear el número para siempre.
Zak Doffman, especialista en ciberseguridad, es quien alertó sobre el problema en un artículo publicado el 10 de abril del 2021 en la revista Forbes. Los investigadores españoles Luis Márquez Carpintero y Ernesto Canales Pereña, de la Universidad de Alicante, fueron quienes avisaron a Doffman sobre este error en la ‘app’.
La nueva falla de WhatsApp se relaciona con la verificación de números de teléfono. Esto permitiría que cualquier atacante bloquee la ‘app’ en el teléfono de la víctima, mediante un proceso sencillo y sin que la autenticación de dos pasos pueda protegerlo.
Todo empieza cuando se registra el número de teléfono por primera vez en WhatsApp. En ese momento, se envía un código por mensaje de texto al número registrado para verificar la cuenta. Después, se debe colocar este código de seis cifras como una garantía de seguridad. El problema está en que otra persona que tenga la ‘app’ también puede usar el número de la víctima para instalar y bloquear la aplicación.
El propietario del teléfono recibirá un código de verificación, sin haberlo solicitado. La persona que busca bloquear el servicio continuará introduciendo códigos incorrectos hasta que la aplicación le notifique que podrá intentarlo nuevamente después de 12 horas.
En el teléfono de la víctima, la ‘app’ continuará funcionando normalmente sin que esta se entere de lo que está ocurriendo. Mientras tanto, el atacante enviará un mensaje al servicio de atención de WhatsApp para restablecer una cuenta perdida o robada, utilizando una nueva dirección de correo electrónico.
WhatsApp le podría pedir un número de teléfono y en ese momento el atacante aprovechará la situación y enviará sus datos. Según los investigadores, la cuenta original sería desactivada una hora más tarde y la ‘app’ dejaría de funcionar en el teléfono de la víctima, ya que su número ya no está registrado.
Cuando el propietario del teléfono pida el código de verificación para ingresar nuevamente, no lo recibirá. Al introducir números incorrectos, el atacante logra que este proceso se bloquee por 12 horas. El código que recibió la víctima en algún momento, sin solicitarlo, ya no servirá en este punto.
Una vez que hayan transcurrido las 12 horas, la victima puede tratar de activar su cuenta. Si es que el atacante continúa obstaculizando el proceso, el número se podría bloquear definitivamente.
Doffman cuenta que logró comunicarse con una persona de WhatsApp, quien le explicó que, al pedir una cuenta de correo electrónico durante el proceso de autenticación de dos pasos, se busca ayudar al equipo de asistencia al consumidor para que pueda guiar a las personas, si alguna vez ocurre este problema.
Las acciones del atacante violan los términos de uso del servicio, por lo que WhatsApp pide a las personas que se comuniquen con su equipo si esto ocurre. Los especialistas recomiendan estar atentos a la llegada de códigos que no han solicitado. Además, se sugiere proporcionar un correo electrónico alterno.