El peor fallo de WhatsApp en años aún sigue activo: así es de peligroso

Luis Márquez Carpintero y Ernesto Canales Pereña son estudiantes de ingeniería informática y los descubridores del peor fallo en años en WhatsApp. Han intentado ponerlo en conocimiento de Facebook en hasta cuatro ocasiones, pero sin éxito. Una situación que les ha llevado a hacer pública la vulnerabilidad para que todo el mundo la conozca y sepa cómo actuar. Así, primero llegaron a Forbes o ESET, luego a todos los demás.

En concreto, el peligro consiste en lo siguiente: cualquiera puede bloquear tu cuenta de WhatsApp y robártela, simplemente, sabiendo tu número de teléfono. Es cierto que la aplicación cuenta con un sistema de verificación en dos pasos que mantiene seguro tu perfil, pero el fallo que estos jóvenes reportan va más allá y se divide en dos fases: uno relacionado con ese proceso de verificación y otro, con el robo.

Todo comienza cuando descargas por primera vez WhatsApp o cambias de terminal. Cuando lo haces, la app enviará un código por SMS para verificar la cuenta. De tal modo que, una vez introducido, te pedirá tu número de autenticación en dos pasos para asegurarse de que eres tú. Hasta aquí, todo normal. Ahora bien, hay que tener en cuenta que cualquiera puede instalar la plataforma en un teléfono e introducir tu número. Si lo hace, tú empezarás a recibir textos y llamadas con el código de verificación que la otra persona necesita para entrar.

Lo normal es que, si no lo compartes, no pasaría nada. Pero los hackers lo van a seguir intentando: seguirán mandando muchos mensajes y meterán códigos inventado en la aplicación. ¿Qué ocurre? Que el proceso de verificación limita el número de código que es pueden enviar: “Vuelve a enviar un SMS/llámame en 12 horas”, dirá tras varias intentonas, bloqueando también la posibilidad de introducir nuevos dígitos falsos. Esto quiere decir que el envío de nuevos números y su introducción en la pantalla de verificación están bloqueados. Todo ello, sin que la víctima lo sepa.

Ahora, el delicuente registra una nueva dirección de correo electrónico y envía un email a support@whatsapp.com con el asunto Cuenta perdida/robada, por favor desactiven mi número. La propia WhatsApp puede enviar un email de respuesta automática pidiendo el número de nuevo, algo que el atacante hace.

Tal y como recoge Betech, una hora más tarde, de repente, WhatsApp deja de funcionar en tu teléfono y ves una notificación alarmante: “Tu número de teléfono ya no está registrado en WhatsApp en este teléfono. Esto puede deberse a que lo has registrado en otro teléfono. Si no lo hiciste, verifica tu número de teléfono para volver a entrar en tu cuenta”. Y esto ocurre, incluso, si tienes activada la doble verificación. Entonces, tomas la decisión de volver a registrar tu cuenta, solicitando el código. Pero no recibes ningún mensaje: te encuentras en las 12 horas de bloqueo que ha provocado el hacker.

WhatsApp, roto

Este periodo de 12 horas puede repetirse hasta en tres ocasiones. A partir de entonces, según los investigadores, WhatsApp parece romperse. “Has adivinado demasiadas veces. Inténtalo de nuevo después de -1 segundos”, explicará. Y eso no es posible. En tal caso, lo mejor es contactar con el servicio de atención al cliente y explicarles lo que está sucediendo.

Para Forbes, “WhatsApp podría asegurarse de que una aplicación en un dispositivo con 2FA registrado puede evitar este problema, utilizando 2FA como un interruptor. Más sencillo aún, cuando aparezca el acceso multidispositivo, WhatsApp podría utilizar el concepto de dispositivo de confianza para permitir que una app verificada verifique a otra. Este es un sistema mucho mejor y acabaría con esta vulnerabilidad”.