Un nuevo fallo ha sido descubierto en el sistema de autenticación en dos pasos de WhatsApp y hasta tal punto llega que es posible usarse para bloquear nuestra cuenta de WhatsApp o la de cualquier con solo conocer el número de teléfono. Esto se ha descubierto en un reciente estudio realizado por los investigadores españoles, Luis Márquez Carpintero  y Ernesto Canales Pereña del que se han hecho eco desde Forbes.

Investigadores españoles muestran lo fácil que es bloquear una cuenta de WhatsApp 1

Lo cierto es que no se trata de una vulnerabilidad como tal, si no de una forma algo chapucera de manejar el sistema de autenticación en dos pasos. Como sabéis todos a la hora de registrar nuestra cuenta WhatsApp nos envía un SMS con código de seis dígitos a nuestro número de teléfono, el cual debemos introducir para confirmar que tenemos acceso al teléfono registrado.

Esto ha sido y sigue siendo usado por algunas personas para tratar de robar nuestra cuenta, con llamadas o mensajes solicitando que les demos ese código que afirman habernos enviado a nosotros por error. La mayoría ya hemos aprendido que nunca, bajo ningún concepto debemos facilitar ningún código recibido en nuestro teléfono a nadie, pero el fallo hoy detectado no necesita ni siquiera eso.

¿Cómo se puede bloquear nuestra cuenta?

Según explican los investigadores el proceso para bloquear nuestra cuenta de WhatsApp solo necesita que un atacante trata de ingresar en la aplicación usando nuestro número de teléfono y solicite el código de activación, algo que hacen una y otra vez en un corto espacio de tiempo. Si tenemos esa cuenta activa en nuestro teléfono eso no supondrá mas problema que el estar recibiendo SMS con códigos de activación, aunque cosa distinta es si tenemos la cuenta cerrada o se nos ocurre cerrarla.

Cuando WhatsApp detecta un número anormal de intentos de verificación bloquea el sistema durante 12 horas, por lo que no es posible recibir nuevos códigos en ese periodo de tiempo. Si tenemos nuestra cuenta activa nosotros no tendremos problemas y podremos seguir usándola con normalidad, pero mientras tanto el atacante da un paso más.

Una vez ven que ya no es posible solicitar más códigos los atacantes lo que hacen es que envían un mail indicando nuestro número de teléfono a WhatsApp solicitando el bloqueo de nuestra cuenta. En este mail afirman que son los dueños de la cuenta y que solicitan el bloqueo por haber sufrido el robo o perdida del teléfono.

Bloqueo WhatsApp

Aquí tenemos el primer fallo, ya que no hay sistema de comprobación de la propiedad de la cuenta y al ver que en efecto ha habido un número excesivo de intentos de verificación, de forma automática se inicia el proceso de bloqueo, recibiendo al poco un correo en el que se notifica que la cuenta ha sido bloqueada.

Investigadores españoles muestran lo fácil que es bloquear una cuenta de WhatsApp 2

Al poco tiempo el usuario ve que su cuenta deja de estar activa y muestra un mensaje que nos pide que verifiquemos el teléfono. “Tu número de teléfono ya no está registrado con WhatsApp en este teléfono. Esto podría deberse a que lo registraste en otro teléfono. Si no lo hiciste, verifica tu número de teléfono para volver a iniciar sesión en su cuenta”. Por supuesto tu no sabes que ha pasado y si tratas de verificarlo el problema es que ya no vas a recibir códigos de verificación durante al menos 12 horas debido a los intentos del atacante y usar los que hemos recibido ya no no funciona.

Si el atacante se detiene aquí no habría más que esperar a que pasen el periodo de bloqueo y volver a verificar el teléfono, pero si el atacante repite el proceso tres veces entra en acción un error que pasa a mostrarnos un mensaje que en lugar de pedirnos que esperemos 12 horas, muestra que esperemos “-1 segundos” y ya lo habrían conseguido, ya que nos encontraríamos bloqueados sin opción de verificar el teléfono.

Investigadores españoles muestran lo fácil que es bloquear una cuenta de WhatsApp 3

En respuesta a esto WhatsApp ha mencionado lo poco probable que es que suframos un ataque similar, además de afirma que el atacante estaría vulnerando los terminos de servicio, pobre consuelo para el que sufre el ataque “proporcionar una dirección de correo electrónico con su verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar“. Sobre si piensan ponerle solución, de momento no han mencionado nada.

Cosas como esta son las que han logrado que muchos usuarios hayan escogido Telegram y otras opciones para sustituir a WhatsApp, no por poco probable deja de ser un problema y esperemos que como tal el personal de WhatsApp lo aborde y busque una solución.

Siguenos en nuestro canal de Telegram para no perderte nada.


Esta web usa enlaces de afiliación que ayudan a su mantenimiento, con ellos recibimos una comisión por cada compra que los usuarios hagan, aunque esto no supone un aumento de su precio, solo nos echas una cable en los gastos de la web.

Sobre El Autor
Pedro A.
Editor Jefe, enamorado de mi familia y de la tecnología en cualquiera de sus formas, aficionado a la Sci-Fy y a mirar al cielo nocturno. Tratando de vivir la vida sin remordimientos.