Telefonía
Alerta por un fallo que te bloquea WhatsApp con tan solo saber tu número de teléfono
Este se aprovecha de dos vulnerabilidades ya conocidas de la app para bloquear la cuenta
La aplicación WhatsApp contiene un nuevo fallo de seguridad que permite a los ciberdelincuentes bloquear la cuenta de cualquier usuario solo conociendo su número de teléfono.
La vulnerabilidad afectaría incluso a los usuarios que tengan activado el sistema de autenticación de doble factor para aumentar la seguridad.
El fallo se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.
En el primero, los ciberdelincuentes introducen el número de teléfono de la víctima en la aplicación de mensajería y esta le manda un código de verificación. La víctima opta por no hacer caso al mensaje, ya que no ha solicitado ningún código. Al introducir una clave errónia varias veces, la app permite enviar un código nuevo al cabo de 12 horas, que bloquea la introducción de códigos de seguridad mientras tanto.
Respecto la segunda la vulnerabilidad, los cibercriminales envían un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.
Momento en que WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.
Transcurridas las doce horas, WhatsApp avisa de que quedan «-1 segundos» para poder generar una nueva clave SMS, mensaje de error se muestra tanto a la víctima como al atacante.
De esta manera, la cuenta del usuario queda bloqueada de forma permanente y la víctima ya solo podrá reactivarla si contacta directamente con el soporte de WhatsApp para que revise el caso manualmente.