Loading...

Un nuevo fallo de seguridad en WhatsApp facilita el bloqueo de la cuenta: descubre cómo

Dos investigadores españoles han detectado un error en la aplicación de mensajería que permite bloquear las cuentas de forma permanente

Núria Messeguer

La interfaz de un teléfono donde se puede ver la aplicación de WhatsApp / EP

Un nuevo fallo de seguridad en WhatsApp pone en jaque a los usuarios. Dos investigadores españoles han descubierto una vulnerabilidad de la plataforma de mensajería que permite que la cuenta de una persona pueda ser bloqueada con tan sólo conocer su número de teléfono.  

Ernesto Canales y Luis Márquez --los investigadores que descubrieron el fallo-- señalan a la revista Forbes que el error detectado también puede afectar a las cuentas que tengan activado el sistema de autenticación en dos pasos. Esta última es una herramienta para mejorar la protección ante posibles ataques e incorpora una capa adicional de seguridad.

¿Cómo se hace el hackeo?

Según los investigadores, el problema consiste en que cualquiera puede introducir el número de teléfono de otra persona y solicitar un SMS o una llamada de verificación de la cuenta. Ese mensaje o llamada llega a la víctima, pero ésta no hace uso de la misma debido a que está operando en la plataforma con normalidad. De este modo, si el atacante solicita de nuevo el SMS --el cual no puede introducir-- tiene la opción de ordenar a la app que le envíe un código nuevo en un plazo de 12 horas. En ese periodo, la aplicación bloquea la introducción de códigos de seguridad y los atacantes aprovechan para envíar un correo electrónico a la empresa e indicarle que la cuenta ha sido robada y solicitar que desactiven el número.

Como WhatsApp no puede verificar que el correo electrónico corresponde a la persona titular de la cuenta, ésta deja de funcionar en el teléfono de la víctima. Le aparece una notificación que le advierte de que su número de teléfono ya no está registrado en la plataforma. Esto es un gran problema porque la víctima no podrá volver a registrar la app en su dispositivo a menos que contacte con el sistema de soporte