Un fallo en WhatsApp permite desactivar cualquier cuenta

WhatsApp almacenar

Un fallo de seguridad en el sistema de autenticación de WhatsApp permite a cualquier usuario -con los conocimientos necesarios- acceder a la aplicación de mensajería instantánea y expulsar a otro de la app, desactivando su cuenta.

Realizar la desconexión no es fácil y requiere al menos 36 horas, pero es posible

No es un proceso fácil, y para completarlo es necesario que transcurran al menos 36 horas de ataque, pero la posibilidad de que se produzca, aunque sea remota, es real. Así lo han señalado dos investigadores de seguridad, Luis Márquez Carpintero y Ernesto Canales Pereña que han compartido en Forbes cómo funciona la vulnerabilidad.

Para realizarlo, es necesario saber el número de teléfono de la persona que se quiere atacar. El ciberdelincuente instala WhatsApp y trata de acceder a su aplicación de mensajería en repetidas ocasiones. Al no ser capaz de señalar los códigos de acceso que WhatsApp envía al móvil del usuario, acaba bloqueando la cuenta.

WhatsApp la inhabilita durante 12 horas al recibir múltiples peticiones de código. Mientras tanto, el atacante lo que hace es crear una nueva dirección de correo electrónico y envía a la dirección de contacto de WhatsApp un email solicitando que, tras haber perdido el móvil o haber sido robado, se desactive su cuenta. Al parecer, WhatsApp no verifica siempre si esa es la dirección de correo electrónico que está asociada a la cuenta, por lo que de tener éxito, bloquea al usuario y lo expulsa de la aplicación.

Sin embargo, aún así, el usuario podría volver a acceder a WhatsApp pasadas las 12 horas, pero el atacante debe repetir este proceso al menos dos veces más. Al realizarlo por tercera vez, WhatsApp acaba bloqueando la cuenta y la única manera de acceder de nuevo a ella es contactando con soporte de WhatsApp.

En realidad la cuenta no queda comprometida, no se accede a información personal… pero lo que sí se logra es que el usuario de WhatsApp no tenga acceso a ella hasta que no contacte con WhatsApp y su cuenta sea restablecida.

No se trata de un proceso fácil, pero lo que evidencia es el hecho de que WhatsApp pueda no confirmar quién es el propietario de ese correo que solicita al bloqueo. Según ha reconocido la compañía «se trata de un problema muy poco frecuente» y ha recomendado emplear la doble autenticación en la cuenta para así asegurarse de que el acceso lo realiza siempre el propietario de la misma.

Curiosamente, WhatsApp no ha confirmado que se vaya a solucionar esta remota posibilidad de error. De todas formas, si se produce el acceso fraudulento, al usuario no le quedará otra que contactar con soporte de WhatsApp a través del correo electrónico. La compañía trabaja en la creación de un chat de soporte, pero todavía no ha sido lanzado oficialmente.

José Antonio Gil

Redactor apasionado por la tecnología y los videojuegos, cacharreando en la red desde tiempos del iRC.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
    • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar la solicitud que realizas en este formulario de contacto.
    • Legitimación: Consentimiento del interesado.
    • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de SiteGround Spain S.L. (proveedor de hosting de TreceBits). SiteGround Spain S.L. está ubicado en la UE, cuyo nivel de protección son adecuados según Comisión de la UE. Ver política de privacidad de SiteGround Spain S.L.
    • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.com así como el derecho a presentar una reclamación ante una autoridad de control.
    • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.