Un "error" de WhatsApp facilita que estafadores puedan bloquear tu cuenta
Expertos en ciberseguridad aseguran que el proceso de activación de cuentas de la app permite una "trampa" que pone en riesgo la seguridad de los usuarios.
Por Redacción
Según los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña, el proceso mediante el que WhatsApp admite que los usuarios inicien sesión ingresando su número de celular presenta una falla que está siendo aprovechada con fines delictivos. En concreto, se trata de la solicitd que la app realiza cuando, por ejemplo, alguien la descarga y quiere iniciar sesión.
Una vez ingresado el número, y sin importar que uno sea o no el propietario, WhatsApp envía a ese teléfono un SMS de verificación que consta de un código de 6 dígitos. Dicho código debe ser ingresado por quien pretende iniciar sesión. El asunto, según detallaron los expertos a Forbes, radica en que cualquier persona puede ingresar cualquier número y disparar el envío de dicho mensaje para, acto seguido, contactar al soporte técnico de WhatsApp vía e-mail y reportar un falso robo y así bloquear la cuenta en cuestión. Y este es precisamente el problema: el soporte técnico no verifica si el correo que le llega es, precisamente, el del dueño del teléfono reportado como robado. Es decir, no importa si la víctima recibe el SMS con el código y lo desestima, ya que este primer paso funciona como precedente.
Una vez que WhatsApp recibe el correo electrónico con la falsa denuncia de robo y el previo intento de inicio de sesión que activó el SMS, lo más probable es que proceda a bloquear la cuenta durante 12 horas. Transcurrido ese tiempo, en lugar de enviar un nuevo código para que el propietario del teléfono active su cuenta, WhatsApp da un aviso que llega tanto al teléfono del que envió el mail como al de la víctima del ataque. Si el atacante insiste con varios intentos fallidos, la aplicación impide de forma permanente que ese número vuelva a registrarse.
Según explicaron los expertos, el problema reside en que el ataque no requiere de grandes habilidades para quebrar la seguridad de la aplicación, si no que basta con aprovecharse de un mecanismo que no es suficientemente sólido. Además, pone en evidencia que el afamado sistema de verificación en dos pasos utilizado por WhatsApp y muchas otras plataformas no es la gran cosa si el soporte técnico exhibe tales fallas en los protocolos de respuesta.