“Tu cuenta de WhatsApp puede ser suspendida o bloqueada por cualquiera que tenga tu número telefónico”, es la reciente alerta que dieron a conocer los usuarios a través de Reddit.
Ahí también señalan que, por si fuera poco, la plataforma de mensajería no puede resolver el problema ya que técnicamente no existe una vulnerabilidad.
Un ejemplo
En una publicación donde un usuario preguntó si alguien ha sido afectado con esta modalidad, alguien indicó que acaba de pasar por esa situación, replicó infobae.com.
“En realidad, esto me sucedió recientemente y el soporte de WhatsApp no fue de ayuda. Afirmaron que era imposible piratear una cuenta a menos que le diera a alguien mi código de verificación”.
#TECNOLOGÍA Así puedes saber si alguien te eliminó o bloqueó de WhatsApp https://t.co/3iZyIf4ZbR pic.twitter.com/4pN2ARyMBh
— Teleamazonas (@teleamazonasec) March 22, 2021
Debilidad de la plataforma
Al respecto, Zack Doffman, experto en ciberseguridad escribió para Forbes un artículo en donde explica cómo funciona el ataque que, “no debería pasar en una plataforma usada por 2 millones de personas. No tan fácilmente”.
“Esta vulnerabilidad de seguridad recientemente revelada involucra dos procesos de WhatsApp separados, los cuales tienen una debilidad fundamental. Y es la combinación de esas dos debilidades lo que puede desactivar tu WhatsApp y evitar que vuelvas a entrar”, señaló.
Zuckerberg asegura que WhatsApp es mejor que iMessage en privacidad, pero los expertos discrepan. Zack Doffman, experto en seguridad, asegura que iMessage ofrece un servicio más seguro y respetuoso con la privacidad de los usuarios, por encima incluso de Signal.#Apple #Facebook pic.twitter.com/5zKgm3UQ1n
— Amantes del Código (@amantedelcodigo) February 8, 2021
Fragilidades
Zack recordó que cuando instalamos por primera vez WhatsApp en nuestro teléfono o cambiamos de dispositivo, la plataforma nos envía un SMS con un código de verificación de cuenta.
Una vez que se ingresa el código, la app nos pide confirmar la verificación en dos pasos (2FA, two-factor authentication), para asegurarse de que somos notros y dejarnos entrar.
Puedes leer: ¿Cómo Reddit usó a GameStop para “burlarse” de Wall Street?
Posible “pirateo”
El especialista en ciberseguridad señala que esta es la primera fragilidad, ya que cualquier persona puede instalar WhatsApp en un teléfono e ingresar el número que quiera, en este caso, el de la víctima.
Tras ello, el afectado recibirá mensajes o llamadas de la plataforma con el código de seis dígitos el cual no debe ser compartido.
Cualquier persona puede sufrir el ataque en su cuenta de WhatsApp.- Foto de Cuartoscuro
Utiliza tu número
“Un atacante puede estar haciendo esto con tu número de teléfono de WhatsApp mientras continúas usando la aplicación con normalidad”.
“Solicitará códigos repetidamente e ingresará conjeturas incorrectas en la aplicación. Recibirás los códigos SMS, quizás también llamadas, pero no hay nada que hacer con ellos, no hay ningún lugar para ingresar estos códigos”.
Así se configura WhatsApp para evitar robo de datos
— PERIODICO DOS FRONTERAS (@2fronteras) December 27, 2020
El fundador de la empresa de seguridad digital Barriere, Zack Doffman, realizó tres recomendaciones para proteger su dispositivo de estos ataques. pic.twitter.com/jajEqdr3Ze
Verdadero problema
Aunque parezca inofensivo, se volverá un problema que el proceso de verificación de WhatsApp limite la cantidad de códigos que se pueden enviar.
Después de algunos intentos, el WhatsApp dirá: “Reenviar SMS / Llámame en 12 horas”, por lo que no se pueden generar nuevos códigos. WhatsApp también bloquea las entradas de código en la aplicación después de varios intentos, y le dice al atacante “lo has adivinado demasiadas veces… inténtalo de nuevo en 12 horas”.
Desastre total
Lo anterior podría no ser un problema a menos de que por alguna razón desactivemos nuestra cuenta en el teléfono y necesitemos hacer la verificación. Sin embargo, cuando se combina con la siguiente vulnerabilidad, todo se vuelve un verdadero desastre.
La segunda vulnerabilidad es la solicitud por correo electrónico para que WhatsApp desactive una cuenta. Ya que no es necesario un email vinculado, la app procederá a realizar la solicitud sin importar los pasos de verificación de cuenta.
Por el momento el ataque a los usuarios no es resuelta por la plataforma de WhatsApp.- Foto de Cuartoscuro
Complicaciones
Es aquí cuando las cosas se complican. Tras recibir la notificación de WhatsApp diciendo que la cuenta ha sido suspendida, lo lógico será querer reactivarla, pero para ello es necesario recibir el código de confirmación, el cual no será enviado porque técnicamente ya te lo enviaron antes y deben pasar 12 horas hasta que la función sea restablecida.
“Intentaste registrar (tu número) recientemente”, te dice la aplicación. “Espere antes de solicitar un SMS o una llamada”.
Incomunicación
Así el atacante habrá logrado incomunicarte por horas, además, podrá continuar el proceso de desactivación de cuenta enviando el mismo email a WhatsApp, el cual, a diferencia de los códigos, no está limitado.
De acuerdo con el especialista, si esto ocurre será “demasiado tarde” para recuperar la cuenta y la alternativa será ponerse en contacto con WhatsApp e intentar encontrar a alguien que pueda ayudar.
Se trata de un ataque simple y efectivo a la cuenta de WhatsApp, dicen los expertos.- Foto de Reuters
Técnicamente, no hay ataque
“Claramente, la combinación de esta arquitectura de verificación, los límites de SMS / código y las acciones automatizadas basadas en palabras clave desencadenadas por los correos electrónicos entrantes está abierta al abuso. No hay sofisticación en este ataque; ese es el problema real aquí y WhatsApp debería abordarlo de inmediato”, reiteró Zack.
Para la plataforma técnicamente no hay un ataque, ya que no existe una violación de sus propios métodos de verificación y desactivación de cuenta.
Qué hacer
Por el momento, la forma de proteger la cuenta es activando los dos pasos de verificación y estar alerta de no recibir códigos no solicitados, ya que probablemente estamos siendo víctimas de este ataque.