Dos vulnerabilidades detectadas en WhatsApp permiten a los cibercriminales bloquear la cuenta de un usuario con tan solo saber el número de teléfono asociado a la aplicación.
Un fallo de seguridad en la aplicación de mensajería instantánea de WhatsApp permite a ciberdelincuentes bloquear la cuenta de un usuario con tan solo conocer el número de teléfono que está utilizando la persona.
Los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, alertan de que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de verificación en dos pasos que usa WhatsApp para incorporar una capa adicional de seguridad, según recoge 'Forbes'.
El fallo de seguridad de la aplicación se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, permiten bloquear una cuenta y evitar que el dueño pueda a acceder a ella.
Primera parte del fallo
La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o mediante una llamada y una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto.
El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando su cuenta de WhatsApp, solamente con conocer el número.
Al introducir de forma repetida una clave SMS errónea, los cibercriminales seleccionarán la opción de conseguir un nuevo código dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.
Segunda parte del fallo
Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del móvil y pidiendo que la cuenta sea desactivada. Para llevar a cabo este proceso solo es necesario conocer el número de teléfono que la persona tiene vinculado a la cuenta de Whatsapp.
La empresa de WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta. Cuando intenta introducir el número de teléfono de nuevo, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.
No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan "-1 segundos" para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.
De esta manera, la cuenta del usuario queda bloqueada de forma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si contacta directamente con el soporte de WhatsApp para que revise el caso manualmente.