Un fallo de ciberseguridad en WhatsApp puede hacer que cualquier persona te desactive la cuenta simplemente con saber tu número de teléfono. Incluso teniendo la autenticación en dos pasos. Zak Doffman, experto en ciberseguridad, lo explica así en Forbes.
"Con tanta gente que depende de WhatsApp para comunicarse con los demás y para temas laborales, es alarmante lo fácil que puede hacerse este hack", advierte Jake Moore, especialista en Ciberseguridad en ESET, empresa que se dedica a la seguridad en internet.
Este fallo de seguridad de WhatsApp tiene lugar gracias a dos procesos de WhatsApp, los cuales tienen un problema fundamental. La combinación de estos dos procesos es lo que hace que se pueda desactivar la cuenta e impedir que puedas volver a entrar.
Cuando instalas WhatsApp por primera vez en tu teléfono, o cuando te cambias de dispositivo, la plataforma te enviará un código SMS para verificar la cuenta. Una vez introduces el código correcto, la aplicación te pedirá tu número 2FA para asegurar que eres tú, y entonces ya estás dentro.
Cualquiera que sepa tu número puede hacerlo
El primer problema es que cualquiera puede instalar WhatsApp en un teléfono cualquiera e introducir tu número en la pantalla de verificación. Entonces serás tú quien reciba mensajes y llamadas de WhatsApp con el código de seis dígitos. También verás una notificación de WhatsApp, diciendo que se ha pedido un código y advirtiéndote de no compartirlo con nadie.
Cualquier atacante puede hacer esto con tu número de teléfono mientras continuas usando WhatsApp como siempre. Empiezan a llegarte llamadas y mensajes de la aplicación, pero como no tienes dónde introducir esos códigos, ignoras todo.
El problema es que el proceso de verificación de WhatsApp limita el número de códigos que pueden enviar. Después de unos cuantos intentos, el WhatsApp del atacante dará la posibilidad de volver a enviar el mismo código, no uno nuevo. WhatsApp también bloquea la entrada de códigos en la aplicación después de varios intentos. La aplicación dirá algo como: "has hecho muchos intentos, inténtalo de nuevo en 12 horas".
12 horas clave
Así, mientras WhatsApp continúa funcionando en tu móvil sin problemas, el atacante ha bloqueado la posibilidad de que manden nuevos códigos. Ahora todo depende de esas doce horas que ha marcado antes. Nada de esto debería ser un problema para ti al menos que desactives WhatsApp en tu teléfono y necesites reactivarlo.
Aquí está el fallo de WhatsApp número dos. El atacante se hace una cuenta de correo nueva y envía un e-mail al soporte de WhatsApp diciendo que le han robado la cuenta, poniendo tu número de teléfono y pidiendo que la desactiven. La aplicación no tiene manera de saber si la persona es realmente la titular de la cuenta, pero el proceso automático hace que desactive la cuenta, sin informarte antes.
De repente, WhatsApp deja de funcionar en tu teléfono y te pide que verifiques tu cuenta. ¿Cuál es el problema? Que no vas a poder hacerlo porque el atacante bloqueó esta posibilidad doce horas atrás. Si no hiciera nada más, podrías esperar esas horas y volver a introducir el código.
Otra posibilidad
Sin embargo, el hacker podría hacer otra cosa. En vez de haber mandado el e-mail a WhatsApp, podría haber simplemente esperado doce horas y repetir el proceso de verificación otra vez, hasta que se vuelva a bloquear todas esas horas.
Si el atacante hace esto tres veces, es decir, en 36 horas, WhatsApp comienza a dar un extraño error: "Inténtalo de nuevo en -1 segundos". Si el hacker manda el correo en este momento, a ti te aparecerá este error y no podrás esperar doce horas, simplemente estará bloqueada.
Tu cuenta estará probablemente desactivada para siempre, a no ser que contactes con alguien del servicio de WhatsApp que pueda ayudarte. Varios expertos en ciberseguridad ya se han puesto en contacto con la aplicación para que miren este fallo, que parece tener fácil solución. Mejorar los procesos de verificación debería ser la prioridad ahora.