Los expertos Luis Márquez Carpintero y Ernesto Canales Pereña encontraron un método que permite el acceso a cualquier cuenta de WhatsApp. Solamente se debe conocer el número de teléfono de la víctima para concretar el ataque, dato que es muy sencillo de obtener luego de la masiva filtración de credenciales que sufrió Facebook días atrás.
Sebastián Stranieri, CEO, VU Security, sostiene: “La vulnerabilidad involucra dos procesos separados de la aplicación, cada uno con una debilidad, y es la sumatoria de ambas debilidades lo que permite a un atacante tomar el control de una cuenta con solo el número de teléfono”. Pero ¿cómo funciona? Según el especialistas “al registrarse por primera vez para utilizar WhatsApp, la aplicación envía un código por SMS como segundo factor de autenticación. Esto puede ser realizado por cualquier persona con cualquier número de teléfono, que recibirá los códigos.
Ahora bien, tras una determinada cantidad de códigos, WhatsApp bloquea el envío de códigos durante 12 horas. Vale aclarar que esto no es un problema en sí a menos que la víctima decida desactivar su cuenta: al hacer esto, la persona no podrá iniciar sesión ni recibir códigos durante 12 horas, porque el atacante ha bloqueado esta posibilidad”. Y explica: “Luego, el atacante crea una cuenta de correo y escribe a soporte de WhatsApp diciendo que su cuenta ha sido hackeada y que desea desactivar la cuenta, indicando el número de teléfono de la víctima. Es en este punto cuando la víctima intentará recuperar acceso a su cuenta, pero no podrá recibir códigos ya que el atacante ha bloqueado este método de autenticación durante 12 horas”
Pero esto no acaba aquí, de acuerdo a Stranieri, “el atacante puede repetir este proceso cada 12 horas, una, dos, tres veces: al tercer ciclo, WhatsApp se rompe. En lugar de bloquearse 12 horas más, la app deja de funcionar, por lo que no hay manera de pedir nuevos códigos. Y es así cómo un atacante puede robar una cuenta de WhatsApp solo sabiendo el número de móvil”.
¿Qué deberíamos hacer cómo usuarios de WhatsApp?
La pandemia global de coronavirus COVID-19 generó un crecimiento exponencial del uso de las aplicaciones de mensajería y videollamadas, al mismo tiempo aumentaron los ataques y robos de cuentas con las más creativas estrategias de los hackers que no se toman descanso ni en pandemia.
“En esta oportunidad la vulnerabilidad de WhatsApp es fácil de resolver porque está basada en el proceso automático de respuesta para el bloqueo de una cuenta”, asegura Stranieri. Y amplia: “Es importante destacar que el usuario, teniendo habilitado el segundo factor de autenticación de WhatsApp, puede recuperar la cuenta en cualquier momento. Otra cuestión relevante es que el atacante nunca tiene acceso a la cuenta de WhatsApp, sino que bloquea el acceso a la aplicación desde el móvil.
“Lo que debería suceder es que WhatsApp no permita este tipo de uso. El problema está en la imposibilidad de autenticar la identidad de la persona fehacientemente porque la verificación está basada en algo que el usuario posee, en vez de algo que es. Es decir, esto podría solucionarse a través de la utilización de sistemas biométricos para garantizar que la persona es quien dice ser”, concluye.
WhatsApp supera la cifra de 2.000 millones de usuarios, lo que la convierte en la aplicación de mensajería más popular del planeta y, a su vez, en un objeto codiciado por los ciberdelincuentes. En ese sentido, seguramente seguiremos conociendo nuevos e innovadores ataques porque el número de teléfono de un usuario es la puerta de entrada a gran cantidad de información valiosa de la vida de las personas.
