El fallo de WhatsApp que permitía desactivar cualquier cuenta y que acaba de corregir

WhatsApp ha reaccionado rápido, pero el fallo ha estado allí, probablemente durante años, y es imposible saber cuantas veces se ha podido utilizar. No para robar una cuenta de WhatsApp pero sí para desactivarla temporalmente y dar un susto al propietario. Se trata de una grieta de seguridad en los procedimientos que ofrece WhatsApp al usuario en el caso de pérdida o robo de su móvil que permitía a un tercero desactivar cualquier cuenta de WhatsApp de la que conociera el número de teléfono enviando un simple correo electrónico a la compañía. Es decir, solo pidiéndolo.

El investigador de ciberseguridad en ESET Jake Moore publicaba ayer en su cuenta de Twitter una captura de los consejos que WhatsApp da en su página de soporte para esta situación.

El primero es contactar con el operador de telefonía para bloquear la tarjeta SIM e impedir que quien tenga el móvil extraviado puede usar la cuenta una vez el dueño la active en un nuevo dispositivo con un duplicado de la tarjeta SIM original.

La segunda opción que ofrece WhatsApp es desactivar la cuenta de WhatsApp mediante el envío de un correo electrónico a la dirección de soporte de WhatsApp. Este debe contener la frase "Teléfono robado/extraviado: Por favor, desactiva mi cuenta" y el número de teléfono al que está asociada la cuenta que se quiere desactivar.

Estas instrucciones han estado presentes también en la página de soporte de la aplicación en español hasta hoy en la que ha sido desactivada sin que se haya sustituido por otra en el momento de escribir este artículo.

Moore decidió comprobar este método con su propio número de teléfono. Envió la solicitud y, sin llevar a cabo ninguna comprobación sobre su identidad, WhatsApp procedió a desactivar su cuenta. Esta desactivación no supone su eliminación, pero esta llegará de forma automática al cabo de 30 días si el usuario no la registra de nuevo en un móvil y confirma su vinculación con el código SMS que WhatsApp envía al número de teléfono o mediante llamada.

I tried it on my test device. It worked! pic.twitter.com/WH5T2oa8W7

— Jake Moore (@JakeMooreUK) July 17, 2023

Las publicaciones de Moore pronto tuvieron repercusión y WhatsApp ha reaccionado hoy cambiando el procedimiento. El investigador recibió una nueva comunicación del soporte de WhatsApp indicándole que se pondrían en contacto con él para asistirle en la petición. En el caso de España, antes de que desactivaran la sección de la página de soporte con el enlace para solicitar la desactivación de una cuenta de WhatsApp, la compañía ha respondido hoy a una solicitud del medio Xataka Móvil solicitando documentación para verificar la propiedad del número de teléfono antes de proceder a su desactivación. Es de esperar que WhatsApp actualice pronto la página de soporte de Teléfono móvil robado o perdido con información actualizada sobre el nuevo procedimiento.