Nueva falla de WhatsApp permite a terceros bloquear su cuenta

Recientemente Eset, empresa especializada en ciberseguridad, detectó una modalidad de ciberataque dirigida en contra de los usuarios de WhatsApp. Ahora los ciberdelincuentes pueden emplear un fallo en la app para hacer que la cuenta de un usuario, con solo usar el número de teléfono de la victima. 

Según la revelación de la marca, cuando se configura por primera vez una cuenta de WhatsApp en un dispositivo, la plataforma solicita un número de teléfono para enviar un código de verificación vía mensaje de texto.

Vea además: ¿Le robaron su cuenta de WhatsApp? Le indicamos qué debe hacer para recuperarla

Después de ingresar el ingresa el código, en caso de que la función sea activada, la app puede solicitar la calve del doble factor de autenticación (2FA) para confirmar la identidad del usuario. Pero la nueva modalidad de ataque saca ventaja de un lapso en la seguridad de dos procesos independientes de WhatsApp.
 
Actualmente, cuando un tercero desea usar una cuenta de WhatsApp en un dispositivo diferente al del usuario la app inicia el proceso de verificación, emitiendo un mensaje de texto con un código de verificación y una notificación en donde le pide al usuario que no comparta el código con nadie.

Mire acá: Instagram estaría pensando en dejar que usuarios escondan los "Me gusta"

La estrategia del ciberdelincuente radicaría en repetir este proceso de forma reiterada, para así agotar el límite de veces que se puede utilizar el proceso de verificación de la app. Al superar dicho límite, WhatsApp bloquea el envió de códigos y también hace que se bloquee el ingreso del código después de varios intentos fallidos.

Mientras dura este bloqueo, por un periodo de 12 horas, la aplicación continuará funcionando con normalidad en el teléfono del usuario, pero el atacante habrá bloqueado la posibilidad de enviar un nuevo código o de ingresar un código en la pantalla de verificación. Por lo tanto, el tiempo fuera del servicio quizás no afecte al usuario, a menos que cierre sesión durante ese lapso.

Vea además: Primera actualización de PS5 llega con nuevas funciones de almacenamiento
 
A continuación, el atacante podría crear una nueva dirección de correo electrónico y enviar un correo al equipo de soporte de WhatsApp con el asunto “teléfono perdido/robado” solicitando que desactiven el número del usuario. La plataforma, podría verificar la identidad del usuario solamente mediante el envío de un correo electrónico automático que solicita el número de teléfono del usuario, por lo que el atacante suplanta así la identidad del usuario legítimo.

De esta manera, el ciberdelincuente logra desactivar la cuenta de WhatsApp de una persona y dado que se había superado el límite de intentos de verificación, el usuario no podrá iniciar sesión hasta que pasen las 12 horas y se vuelva a solicitar el código de verificación.

De interés: En imágenes: Crean webcam con forma de ojo humano capaz de perseguir al usuario con su mirada
 
Esta modalidad de ataque fue detectada por Jake Moore, especialista en seguridad de Eset, quien recientemente expuso cómo este mecanismo puede afectar a miles de usuarios de WhatsApp.
 
“Cualquiera puede escribir un número de teléfono para ver si existe una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos”, precisó el experto.