Alertan por una nueva falla de seguridad de WhatsApp que permite a los cibercriminales bloquear la cuenta de cualquier usuario con tan solo conocer el número de teléfono asociado al perfil. En doce horas el atacante podría quitarle el acceso al usuario legítimo y este problema afecta incluso a quienes tengan activo el segundo factor de autenticación.
Este inconveniente, identificado por los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, y explicado en detalle en Forbes, se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, en el cual se recuerde que no debe compartir ese dato con nadie bajo ningún concepto.
El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp. El atacante no recibirá el código, ya que este llegará por SMS al teléfono del propietario legítimo, así que introducirá de manera errónea diferentes claves. Al introducir varias veces una clave incorrecta, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.
Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.