WhatsApp es una de las plataformas de mensajería más usada, sin embargo, en los últimos meses han surgido algunas dudas sobre la seguridad y privacidad.
Antilavadodedineo / Dinero
La última falla que ha salido a la luz es una que permite a los cibercriminales bloquear la cuenta de cualquier usuario sólo con conocer su número de teléfono asociado, en un proceso que puede llevarse a cabo en doce horas.
Esto es resultado de una investigación de ciberseguridad realizada por Luis Márquez Carpintero y Ernesto Canales Pereña, que han explicado que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de doble factor que usa WhatsApp para incorporar una capa adicional de seguridad.
De acuerdo con datos recabados por Forbes, el fallo de seguridad de la app se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
Los cibercriminales pueden llevar a cabo el proceso de verificación de cuenta mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp, solamente con conocer el número de teléfono de la víctima.
Al introducir de forma repetida una clave SMS errónea, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.
En segundo lugar, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.
Tras esto, WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa que es necesario esperar doce horas.
Transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan “-1 segundos” para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante. De esta manera, la cuenta del usuario queda bloqueada de forma permanente.
