WhatsApp tiene un fallo de seguridad con el que los cibercriminales podrían bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado.
La vulnerabilidad en la app de mensajería fue descubierta por dos investigadores españoles, Luis Márquez Carpintero y Ernesto Canales Pereña, tal y como recoge Forbes. De acuerdo con los expertos, esta vulnerabilidad afecta incluso a aquellos usuarios cuyo sistema de autenticación en dos fases esté activado, ya que la brecha se basa en dos procesos independientes que se realizan fuera de la propia app.
Lo primero es que cualquiera que conozca el número de teléfono de otra persona lo puede introducir en WhatsApp (para iniciar sesión desde otro dispositivo). El usuario recibiría un código de verificación de seis dígitos por SMS o por llamada y una notificación con la solicitud del código. Mientras, los atacantes introducen varias veces una clave SMS errónea y, tras varios fallos, pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, lo que haría que el servicio se bloquee durante ese tiempo.
Según el informe, los delincuentes pueden realizar todo este proceso mientras el usuario utiliza su cuenta de WhatsApp.
Luego, los atacantes podrían escribir al servicio de soporte de WhatsApp (desde de una dirección de correo desechable) para informar que la cuenta ha sido robada o extraviada y solicitar que el servicio se desactive. WhatsApp no realizaría comprobaciones adicionales sobre dicha solicitud y la cuenta quedaría desactivada.
De momento, ni Facebook ni WhatsApp han emitido ningún comunicado ni información adicional sobre esta grave vulnerabilidad, por lo que no sabemos si tomarán medidas para solventarla.
