WhatsApp nuevamente es afectada por cibercriminales. La aplicación cuenta con una falla que le permite a ciertas personas bloquear la cuenta de cualquier usuario con tan solo conocer el número de teléfono asociado al perfil. El atacante puede quitarle el acceso a la app a la persona en tan solo 12 horas aunque tenga activo el segundo factor de autenticación.
WhatsApp posee una falla que permite bloquear una cuenta solo con saber su número de teléfono.
Cómo pueden llegar a bloquear tu cuenta de WhatsApp
Este inconveniente, identificado por los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, y explicado en detalle en Forbes, se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, en el cual se recuerde que no debe compartir ese dato con nadie bajo ningún concepto.
Leer más ► WhatsApp: cómo limpiar la app y liberar espacio en tu teléfono
El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp. El atacante no recibirá el código, ya que este llegará por SMS al teléfono del propietario legítimo, así que introducirá de manera errónea diferentes claves. Al introducir varias veces una clave incorrecta, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.
Una vez superado, WhatsApp solo volverá a enviar códigos mediante mensajes o llamadas pasadas 12 horas. Además, la aplicación bloquea el ingreso de códigos al detectar que se han realizado demasiados intentos incorrectos y, también, volverá a habilitarlo en 12 horas.
Mientras sigues tu vida e ignoras lo que está ocurriendo, el atacante sigue activo. Y aquí llega el siguiente paso en el ataque: a través de una dirección de correo electrónico, envía un mensaje a [email protected]. En el mensaje se hace pasar por ti y, asegurando que tu teléfono ha sido robado, solicita la desactivación de la cuenta de WhatsApp.
Qué hacer ante este tipo de ataques
Un vocero de WhatsApp dijo que “proporcionar una dirección de correo electrónico con la verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco habitual. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar “.
Además de registrar un correo a la hora de activar el segundo factor de autenticación, no bien se note algo extraño como la recepción de mensajes con códigos de activación de WhatsApp que no fueron solicitados, se recomienda contactar de inmediato al equipo de soporte para adelantarse a que ocurra un bloqueo del sistema pasadas las 12 horas.
Leer más ►WhatsApp: se habilitó la función para los deep links y tener stickers es más fácil
Temas
Te puede interesar
