Seguridad de WhatsApp

Imagina que estás usando feliz y tranquilamente tu WhatsApp y, de buenas a primeras, la app deja de funcionar. Y es más, te dice que tu cuenta ha sido bloqueada sin posibilidad de retomar su uso normal hasta dentro de varias horas o incluso varios días. Pues bien, este es el problema que han descubierto dos investigadores españoles en el sistema de seguridad de WhatsApp. Aquí te contamos cómo funciona.

Han sido Luis Márquez Carpintero y Ernesto Canales Pereña quienes, a través del medio Forbes, han dado a conocer esta nueva vulnerabilidad de WhatsApp. Un fallo en su sistema de seguridad a la hora de iniciar sesión en un nuevo dispositivo que deja al descubierto una cruel estrategia para atacantes: poder bloquear tu cuenta de WhatsApp. Y todo ello sin que te enteres de nada.

Fallo en la seguridad de WhatsApp

El problema está relacionado con el sistema de identificación del usuario a la hora de registrarse en un nuevo móvil. En este proceso el usuario introduce el número de teléfono en WhatsApp para recibir un SMS con el código de verificación. Una manera de identificarse de forma segura, ya que el mensaje SMS solo lo puede recibir quien tenga ese número. O eso se supone.

whatsapp
sistema de verificación en dos pasos

Pues bien, tal y como está establecido este sistema de seguridad en WhatsApp, y si el atacante o hacker tiene tu número de teléfono, solo necesitaría tratar de iniciar sesión constantemente en un nuevo dispositivo a través de WhatsApp. Solo tu recibirías el mensaje SMS en tu móvil, claro está. El problema aquí es que WhatsApp no envía códigos de verificación infinitos. De hecho bloquea este sistema si la petición es constante. No bloqueará tu móvil, pero sí la recepción de estos mensajes SMS.

Aquí llega el segundo paso del atacante. Más elaborado. Y es que debe hacerse pasar por ti en un correo electrónico a la atención de WhatsApp. En el mensaje tiene que indicar que su cuenta ha sido borrada o usurpada, y tiene que añadir el número de teléfono. El tuyo. Con ello WhatsApp hace las revisiones necesarias confirmando que se ha solicitado demasiadas veces el código de verificación. A pesar de no saber si has sido tú, un atacante u otra persona, ante la duda lo mejor es bloquear la cuenta temporalmente para evitar brechas de seguridad. Y ahí están tus 12 horas bloqueado fuera de tu cuenta de WhatsApp.

En ese instante ya no podrás usar la aplicación, y se te informará de que la cuenta ha sido bloqueada por un ataque o por medidas de seguridad durante unas horas. El problema es que el proceso se puede repetir nuevamente y, ante ataques continuados WhatsApp ejerce mano dura, pudiendo llegar a bloquear para siempre tu cuenta.

Con ello te quedarías fuera de WhatsApp. Pero aún más, no podrías recuperar tu cuenta. Ni tus grupos. Ni tus conversaciones. Y, sin entrar a tu cuenta, tampoco podrías recuperar las copias de seguridad y tus viejos mensajes. Toda una faena que parece que WhatsApp no ha corregido aún.

De hecho, un portavoz de WhatsApp ha aclarado a Forbes que, actualmente, “proporcionar una dirección de correo electrónico con la verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”. Es decir, que o estamos al día con nuestra seguridad en WhatsApp y enviamos el código de doble verificación y el correo electrónico a WhatsApp o no podremos recuperar de ninguna manera nuestra cuenta bloqueada con este sistema. Sin que exista aún un nuevo protocolo o protección para evitar esta vulnerabilidad de WhatsApp.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.