Se ha descubierto un fallo de seguridad de importante relevancia en la aplicación mas popular actualmente en lo que se refiere a mensajería instantánea, WhatsApp.
El dicho fallo de seguridad ha sido reportado por los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña, de la Universidad de Alicante.
Dicho fallo está relacionado con la verificación del numero de teléfono que introducimos al crear/instalar la aplicación de WhatsApp. En el proceso de creación de la cuenta se nos pide un SMS de confirmación para verificar que realmente el número telefónico pertenece a la persona que está instalando dicha cuenta, bien, pues aquí viene el fallo de seguridad encontrado.
Al parecer WhatsApp tiene un numero limitado de intentos de escribir el código de confirmación que se envía a través del SMS. El atacante usa esa falla para sobrepasar los números de intentos fallidos, hasta que la aplicación deja de permitir introducir mas códigos de seis dígitos para validar esa cuenta.
La victima no notara nada, de momento, lo único esos SMS de confirmación que le llegara a su móvil, pero como practica habitual de un usuario normal, se llega a hacer caso omiso de estos SMS, a lo que llega, una vez sobrepasado los intentos fallido, al bloqueo de la petición de esos códigos de verificación, quiere decir que a la victima no le llegarían mas SMS con el mencionado código de verificación durante al menos 12 HORAS.
Ese ya seria el primer paso. Lo que el siguiente paso para el atacante seria enviar un correo electrónico al soporte de WhatsApp, con una serie de palabras "claves", y le responderán con una notificación, en la que dice que el numero de teléfono asociado a esa cuenta de WhatsApp ha sido DESACTIVADO.
A la victima ya se le negará el acceso a su cuenta de WhatsApp, pero en principio no habría problemas puesto que podría verificar mediante SMS su cuenta. Pero claro, es que el número de teléfono de la víctima, como he mencionado anteriormente, no podría recibir mas SMS durante 12 horas. Por lo que la victima no tendría acceso a su cuenta de WhatsApp durante esas 12 horas.
Y este proceso lo podría repetir el atacante todas las veces que quiera, hasta llegar a un punto en el que se bloquearía PARA SIEMPRE la cuenta de WhatsApp con el numero de teléfono atacado.
No pretendo hacer un tutorial, pero esta es la realidad, actualmente no hay ninguna medida paliativa para tomar mientras se solucione este problema de seguridad. Lo único que se me ocurre es, tener otro medio de mensajería, como Telegram o Signal, para poder seguir trabajando a aquellos de los que dependen de WhatsApp.
Por último decir que este tipo de ataque, no roba información, ni chats, nada, a la víctima, simplemente es el bloqueo de la cuenta de WhatsApp.
*Jesús Vázquez Carrilero es graduado en Informática y Estudiante de Máster de Ciberseguridad.
