El servicio de mensajería con más de 2,000 millones de usuarios vuelve a ser noticia después de que los investigadores en seguridad Luis Márquez Carpintero y Ernesto Canales Pereña revelaron a Forbes una manera muy sencilla de bloquear el acceso a WhatsApp a cualquier usuario en el mundo solo con saber su número telefónico.

El proceso es tan sencillo que por eso lo han catalogado como grave, pues únicamente se trata de aprovechar varias vulnerabilidades en los procesos de seguridad, que en palabras de los investigadores no debería de tener cabida en una aplicación utilizada por 2,000 millones de personas en todo el mundo.

Bloqueo de WhatsApp en solo 12 horas

Aunque esta falla no está destinada a robar información, los daños pueden ser altos considerando que mucha gente utiliza WhatsApp para trabajar, y muchos pequeños negocios también requieren de la plataforma para concretar parte de sus ventas, como es el caso de Paulina Álvarez, propietaria de un negocio conocido como La Santa Dona, la cual concentra el 60% de sus ventas a través de esta plataforma.

Para lograr el cometido una persona que quiera fastidiar a otro usuario solo tendría que conocer su número de teléfono e intentar iniciar sesión en su teléfono. Cuando esto sucede WhatsApp solicita el código de 6 dígitos que llega por SMS o llamada telefónica.

A la víctima le llegará el SMS o recibirá la llamada al mismo tiempo que aparece una notificación en la aplicación que indica que se ha solicitado el código de inicio de sesión en un nuevo dispositivo.

Crédito: Forbes

Si en varias ocasiones se ingresa el código de forma incorrecta entonces aparecerá una pantalla indicando que el código podrá volver a ser enviado dentro de 12 horas.

Crédito: Forbes

Por otro lado, quien busca bloquear la cuenta de WhatsApp solo debe enviar un correo electrónico al área de soporte de WhatsApp para informar que su teléfono fue robado y que necesitan desactivar la cuenta asociada a dicho dispositivo.

Por sorprendente que parezca, el área de soporte no solicita ningún tipo de dato que valide que el usuario que los contacta en realidad es el dueño de la cuenta, por lo que WhatsApp tardará poco más de 1 hora en bloquear la cuenta del dispositivo.

¿Qué sucede ahora?

La víctima de pronto recibirá un mensaje que indica que su cuenta de WhatsApp ya no está registrada en ese teléfono, por lo que será necesario ingresar el código de verificación para iniciar sesión.

Sin importar los esfuerzos será imposible para la víctima iniciar sesión en su teléfono porque los códigos de verificación que recibió por SMS o llamada no son válidos, y si intenta solicitar uno nuevo se le indica que debe terminar el plazo de 12 horas desde que comenzó el bloqueo por parte del “atacante”.

Lo más grave, es que si el atacante sigue insistiendo con códigos incorrectos entonces el tiempo de espera pasa de 12 horas a 1 segundo, y en ese momento es imposible volver a ingresar un código de verificación, según lo mencionado por los investigadores.

La única forma de solucionar este problema es contactar a WhatsApp y esperar a que alguien en soporte pueda ayudar al usuario.

Los grandes problemas de WhatsApp

Los investigadores mencionan que una de las fallas de la aplicación es no realizar ningún proceso de certificación de datos de los usuarios, pues no hay manera de que alguién que los contacta por correo electrónico pueda corroborar que en verdad es el dueño de la cuenta.

Por otro lado, vincular una cuenta solamente a un número de teléfono es lo que causa este serio problema, pues en aplicación como Telegram es posible ligar una cuenta a un nombre de usuario para evitar que terceros conozcan tu número de teléfono e intenten realizar este tipo de acciones.

La “solución” que propone WhatsApp

Un portavoz de WhatsApp mencionó a Forbes que una manera mitigar este problema es activando la verificación en 2 pasos, no porque esto vaya a evitar que un atacante solicite los códigos de inicio de sesión, sino porque el usuario tendrá que colocar un correo electrónico que permitirá al área de soporte técnico conocer el correo electrónico asociado a una cuenta.