Fallo de WhatsApp permite a un atacante bloquear un numero para siempre

WhatsApp puede hacer que un atacante bloquee de forma permanente la cuenta de cualquier usuario sólo con saber su número de teléfono. Las potenciales víctimas son sus 2.000 millones de usuarios. Le puede pasar a cualquiera y no depende de las precauciones que tome el usuario.

De esta manera, el error no está en el software, sino en la concepción de los sistemas de autenticación de la propia app. El problema ha sido descrito por el especialista en ciberseguridad Zak Doffman en Forbes. El atacante puede llegar a desactivar de forma remota la app de mensajería en el móvil de la víctima.

El problema está en los procesos que sigue WhatsApp para activarse. Cuando se instala por primera vez o se cambia de móvil, la app pide un número de teléfono al usuario. Al introducirlo, la compañía envía un código por SMS que se debe introducir para verificar la cuenta. Una vez que se introduce, el usuario debe poner también su número de autenticación de dos factores, un PIN de seis cifras que sirve para que nadie se identifique en la cuenta de forma fraudulenta. Este es el primer punto débil.

Por el cual, cualquier persona con WhatsApp puede poner el teléfono de una víctima en el proceso de verificación. El objetivo del delincuente no sería en este caso apropiarse de la cuenta, sino su bloqueo, ya que puede conseguir que alguien se quede sin poder usar la app de mensajería, dejarlo incomunicado en esta plataforma.

Cuando el atacante envía el número de teléfono de su víctima, esta recibe el código de verificación de WhatsApp, pero no hay nada que pueda hacer con él. No tiene un cuadro en el que introducirlo. Doffman explica que el atacante puede seguir haciendo esto de forma repetida e introducir códigos incorrectos de forma repetida. Los descubridores del problema que explica el especialista son los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña. “Cuando me advirtieron que podían matar WhatsApp en mi teléfono, bloqueándome desde mi propia cuenta usando sólo mi número de teléfono, dudé. Pero tenían razón”, explica.

El proceso de verificación de WhatsApp limita el número de códigos que se pueden enviar y, después de varios intentos fallidos por parte del atacante, le indica que no podrá volver a intentarlo hasta dentro de 12 horas. WhatsApp sigue en ese momento funcionando de forma normal en el móvil del usuario legítimo, pero la cuenta atrás para el bloqueo completo acaba de empezar.

Cabe destacar, que el atacante ahora registra una nueva dirección de correo electrónico como usuario y envía un mensaje al servicio de atención al usuario de WhatsApp para restablecer cuentas perdidas o robadas. En su mensaje, reclama la desactivación del número de teléfono. WhatsApp le podría enviar un correo de respuesta pidiéndole el número de nuevo. Como le llega a él, puede proporcionar la respuesta. La víctima sigue ajena al proceso.

WhatsApp ha recibido un correo electrónico con la referencia de un número de teléfono sin un proceso para confirmar a quién pertenece. Todo es un proceso automático. Una hora más tarda, la cuenta es desactivada y WhatsApp deja de funcionar en el teléfono de la víctima, a la que indica que ”su número de teléfono ya no está registrado en WhatsApp en este teléfono». «Esto puede deberse a que lo has registrado en otro teléfono indica la app.

Cuando la víctima inicia el proceso normal de activación, solicita un código de verificación por SMS, pero no recibe nada, porque está en ese periodo de bloqueo de 12 horas que ha provocado el atacante. En ese momento, aunque recuerde que recibió antes un código que no tenía donde introducir, ya no le sirven, porque WhatsApp le dice que lo ha probado demasiadas veces. Quien lo hizo fue el atacante.

La víctima no puede solicitar un nuevo código ni introducir el correcto. Se ha quedado sin WhatsApp temporalmente. Si el atacante no sigue, al terminar el periodo de 12 horas, el usuario puede volver a solicitar un SMS y activar de nuevo su cuenta. Si el atacante, al final de cada fase de bloqueo, se adelanta al propietario legítimo del número, después de tres ciclos. Ya no ofrece 12 horas de espera, sino “-1 segundos”. Bloqueo completo.

A partir de ese momento, si el atacante envía un correo electrónico al servicio de soporte de WhatsApp para desactivar su número, no se podrá volver a activar la app en el móvil de la víctima. Los investigadores estiman que a partir de ese momento “es demasiado tarde” y recomiendan ponerse en contacto con la compañía para tratar de encontrar alguien que pueda ayudarle.

WhatsApp y recibió una respuesta de un portavoz: “proporcionar una dirección de correo electrónico con la verificación en dos pasos ayuda a nuestro equipo de atención al cliente a ayudar a las personas si alguna vez se encuentran con este problema improbable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquiera que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.

Además de utilizar el proceso de verificación en dos pasos de WhatsApp, también es conveniente que los usuarios proporcionen un correo asociado que le permita empezar a solucionar el problema en el caso de que empiece a recibir códigos que no se han solicitado.

Elsiglo