Un equipo de investigadores ha encontrado un fallo en el sistema de WhatsApp que permite que cualquiera te pueda bloquear la aplicación. En cualquier caso, no es nada fácil conseguirlo. Se necesitan al menos 36 horas para ejecutar el fallo.
La historia la contaban a principios de esta semana en Forbes. Los investigadores de seguridad Luis Márquez Carpintero and Ernesto Canales Pereña, compartieron su descubrimiento explicando cómo funciona:
Después de instalar WhatsApp, el atacante intenta iniciar sesión a través de tu número solicitando códigos de autenticación.
- WhatsApp bloquea el envío de códigos durante 12 horas después de una cierta cantidad de intentos.
- Mientras tanto, el atacante configura un nuevo correo electrónico y envía «una solicitud de teléfono perdido/robado» al servicio de soporte de WhatsApp para desactivar tu cuenta.
- Desde allí WhatsApp realmente no verifica si la dirección de correo electrónico está asociada con tu cuenta, por lo que lo bloquea fuera de la aplicación.
- Después de esto, el atacante tiene que repetir el ciclo de 12 horas dos veces.
- Al final de estos tres ciclos, tanto tú como el atacante verán el mensaje «Vuelve a intentarlo después de -1 segundos», mientras intentas iniciar sesión a través de tu número.
- En este punto deberás comunicarte con el servicio de soporte de WhatsApp para recuperar la cuenta.
Como vemos, suena bastante engorroso y un trabajo demasiado pesado para un atacante, ya que al final y de lograrlo lo único que consigue es bloquear una cuenta, no se extraen datos ni dinero, pero el fallo está ahí.
Peor aún, y como describen los investigadores, lo realmente preocupante es que no hay ningún mecanismo desde soporte de WhatsApp que pida que se verifique como el propietario de tu cuenta. Además, este método tiene éxito en bloquearte incluso si has configurado la autenticación de dos factores.
Tras la publicación del artículo con el fallo WhatsApp dijo en un comunicado que «proporcionar una dirección de correo electrónico con tu verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez encuentren este problema poco probable».
Para hacerlo hay que acudir a Cuenta> Verificación de dos pasos y, después de ingresar el PIN seguro, proporcionar una dirección de correo electrónico para recuperarlo. Esta identificación de correo electrónico también ayudará a WhatsApp a verificar tu solicitud…. aunque es posible que debas enviar un correo electrónico a soporte de WhatsApp si ya estás bloqueado.
