Un atacante podría bloquear el acceso a la aplicación de un usuario utilizando solo el número de teléfono y sin requerir ninguna acción de su parte.
Si usa WhatsApp, es importante tener cuidado con un ataque que los ciberdelincuentes pueden usar y a través del cual pueden suspender su cuenta usando solo su número de teléfono. La brecha de seguridad abusa de un lapsus de seguridad en dos procesos independientes de WhatsApp, explica Forbes en un artículo que cita una investigación de Luis Márquez Carpintero y Ernesto Canales Pereña.
En contexto, cuando pasa por primera vez por el proceso de configurar su cuenta de WhatsApp en un dispositivo, se le solicita a su número de teléfono que le envíe un código de verificación. Después de ingresar el código, se le pedirá una clave de autenticación de doble factor (2FA) para confirmar su identidad.
Sin embargo, no hay forma de evitar que alguien use su número en el proceso de verificación. Si un atacante hace esto, recibirá llamadas y mensajes de WhatsApp con un código de verificación, junto con una notificación que le pedirá que no comparta el código de registro con nadie. El delincuente puede hacer esto repetidamente, y es posible que a usted no le importen los mensajes, considerando que es un bicho.
En última instancia, estas solicitudes activarían el límite de WhatsApp en la cantidad de veces que se pueden enviar códigos y también causarán que el código se bloquee después de varios intentos fallidos, en ambos casos durante 12 horas. Durante ese tiempo, la aplicación en su teléfono seguirá funcionando normalmente, pero el atacante habrá bloqueado la capacidad de enviar un nuevo código o ingresar un código en la pantalla de verificación. Por lo tanto, es posible que su tiempo de inactividad no lo afecte a menos que cierre la sesión durante ese tiempo.
En el siguiente paso, el agente de amenazas podrá crear una nueva dirección de correo electrónico y enviar un correo electrónico al equipo de soporte de WhatsApp con el asunto “teléfono perdido / robado” solicitando la desactivación de su número. Al parecer, la plataforma verificará la “identidad” del atacante con solo enviar un correo electrónico automático solicitando nuevamente el número de teléfono del usuario, algo que enviará el atacante que se hace pasar por la identidad del usuario legítimo. WhatsApp desactivará su cuenta. Y como se superó el límite de intentos de verificación, no podrá iniciar sesión hasta que hayan pasado 12 horas y solicite el código de verificación nuevamente.
Lectura recomendada: el malware se distribuye a través de mensajes de WhatsApp y tiene características de gusano
Desafortunadamente, si el atacante no se detiene y decide repetir este proceso tres veces seguidas que desencadena el bloque de 12 horas, WhatsApp fallará y en lugar de pedirle al usuario que “intente nuevamente después de 12 horas”, mostrará un mensaje que dice “inténtalo de nuevo después de -1 segundo”. Los investigadores advirtieron que si el atacante esperaba hasta este punto, no habría forma de recuperar su cuenta, a menos que encontrara a alguien en WhatsApp dispuesto a ayudar.
En declaraciones a Forbes, un portavoz de WhatsApp dijo que “proporcionar una dirección de correo electrónico y autenticación de doble factor ayudará a nuestro equipo de servicio al cliente a ayudar a las personas si tienen este problema. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar. “
El problema llamó la atención del experto en seguridad de ESET, Jake Moore, quien recientemente mostró cómo alguien puede tomar el control de su cuenta de WhatsApp con solo conocer su número de teléfono. Moore advirtió que la nueva falla no debe tomarse a la ligera, especialmente porque puede afectar a millones y es relativamente fácil de lograr.
“No hay forma de optar por no ser descubierto en WhatsApp”, dijo. “Cualquiera puede ingresar un número de teléfono para ver si hay una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos. “