Luego de un riguroso estudio, un grupo de investigadores en España descubrió una alarmante falla de seguridad de WhatsApp que tiene que ver con la verificación de números de teléfono. Y es un tanto preocupante si se tiene en la cuenta que esta aplicación de mensajería instantánea de Facebook es la más usada en el mundo al tener cerca de 2.000 millones de usuarios activos.
El problema hallado no es un defecto interno del código de WhatsApp, sino un error en la manera con la cual el servicio bloquea cuentas. El posible atacante no leerá los mensajes, pero lo puede dejar sin ingreso a la aplicación.
De acuerdo con el informe de los expertos, el mecanismo con el cual pueden bloquear la aplicación es sencillo. El atacante instala WhatsApp en un nuevo teléfono e inserta su número para activar el servicio. No pueden verificarlo porque esa clave llega a su número de móvil.
Como ha usado su número de móvil, introduce varias claves de verificación aleatorias que fallan y que provocan que tras varios intentos WhatsApp no permita al atacante introducir nuevos códigos de seis dígitos para validar esa cuenta durante 12 horas.
Pese a que la víctima seguiría utilizando WhatsApp sin ningún inconveniente, ya el atacante habría conseguido el objetivo: que se bloquee cualquier envío de código nuevo a su propio número de teléfono.
Ya con el número bloqueado que no permitirá recibir nuevos SMS, enviaría un correo electrónico con alguna cuenta que se haya creado a soporte técnico de WhatsApp. Al atacante le bastará escribir un mensaje en el que diga que su celular fue robado o que se perdió y que necesita que desactive su cuenta.
WhatsApp, tras recibir el correo electrónico fraudulento del propio atacante que lo ha suplantado, comprobará que el teléfono efectivamente fue reportado como robado y se encuentra bloqueado, responderá a ese correo falso, procederán con la desactivación de la cuenta.
Pero lo peor podría estar por venir: el atacante, al pasar las primeras 12 horas de bloqueo, podría repetir el proceso para que se vuelva a bloquear una vez más la recepción del SMS de verificación, y así hasta que llega el tercer ciclo de las 12 horas de bloqueo. En este momento, se bloquearía de forma permanente la recepción de SMS a su número de móvil, y ya nunca podría volver a recuperar su cuenta.
