Técnicamente no existe el ataque porque se hace bajo la arquitectura de la plataforma.
“Tu cuenta de WhatsApp puede ser suspendida o bloqueada por cualquiera que tenga tu número telefónico”, es la reciente alerta que han dado a conocer los usuarios a través de Reddit, en donde señalan que, por si fuera poco, la plataforma de mensajería no puede resolver el problema ya que técnicamente no existe una vulnerabilidad.
En una publicación donde un usuario preguntó si alguien ha sido afectado con esta modalidad, alguien señaló que acaba de pasar por esa situación.
“En realidad, esto me sucedió recientemente y el soporte de WhatsApp no fue de ayuda. Afirmaron que era imposible piratear una cuenta a menos que le diera a alguien mi código de verificación”.
Al respecto, Zack Doffman, experto en ciberseguridad escribió para Forbes un artículo en donde explica cómo funciona el ataque que, “no debería pasar en una plataforma usada por 2 millones de personas. No tan fácilmente”.
“Esta vulnerabilidad de seguridad recientemente revelada involucra dos procesos de WhatsApp separados, los cuales tienen una debilidad fundamental. Y es la combinación de esas dos debilidades lo que puede desactivar tu WhatsApp y evitar que vuelvas a entrar”, señaló.
Recordó que cuando instalamos por primera vez WhatsApp en nuestro teléfono o cambiamos de dispositivo, la plataforma nos envía un SMS con un código de verificación de cuenta. Una vez que se ingresa el código, la app nos pide confirmar la verificación en dos pasos (2FA, two-factor authentication), para asegurarse de que somos notros y dejarnos entrar.
El especialista en ciberseguridad señala que esta es la primera fragilidad, ya que cualquier persona puede instalar WhatsApp en un teléfono e ingresar el número que quiera, en este caso, el de la víctima.
Tras ello, el afectado recibirá mensajes o llamadas de la plataforma con el código de seis dígitos el cual no debe ser compartido.
“Un atacante puede estar haciendo esto con tu número de teléfono de WhatsApp mientras continúas usando la aplicación con normalidad. Solicitará códigos repetidamente e ingresará conjeturas incorrectas en la aplicación. Recibirás los códigos SMS, quizás también llamadas, pero no hay nada que hacer con ellos, no hay ningún lugar para ingresar estos códigos”.
Aunque parezca inofensivo, se volverá un problema que el proceso de verificación de WhatsApp limite la cantidad de códigos que se pueden enviar. Después de algunos intentos, el WhatsApp dirá: “Reenviar SMS / Llámame en 12 horas”, por lo que no se pueden generar nuevos códigos. WhatsApp también bloquea las entradas de código en la aplicación después de varios intentos, y le dice al atacante “lo has adivinado demasiadas veces… inténtalo de nuevo en 12 horas”.
Lo anterior podría no ser un problema a menos de que por alguna razón desactivemos nuestra cuenta en el teléfono y necesitemos hacer la verificación. Sin embargo, cuando se combina con la siguiente vulnerabilidad, todo se vuelve un verdadero desastre.
La segunda vulnerabilidad es la solicitud por correo electrónico para que WhatsApp desactive una cuenta. Ya que no es necesario un email vinculado, la app procederá a realizar la solicitud sin importar los pasos de verificación de cuenta.
Es aquí cuando las cosas se complican. Tras recibir la notificación de WhatsApp diciendo que la cuenta ha sido suspendida, lo lógico será querer reactivarla, pero para ello es necesario recibir el código de confirmación, el cual no será enviado porque técnicamente ya te lo enviaron antes y deben pasar 12 horas hasta que la función sea restablecida.
“Intentaste registrar [tu número] recientemente”, te dice la aplicación. “Espere antes de solicitar un SMS o una llamada”.
Así el atacante habrá logrado incomunicarte por horas, además, podrá continuar el proceso de desactivación de cuenta enviando el mismo email a WhatsApp, el cual, a diferencia de los códigos, no está limitado.
De acuerdo con el especialista, si esto ocurre será “demasiado tarde” para recuperar la cuenta y la alternativa será ponerse en contacto con WhatsApp e intentar encontrar a alguien que pueda ayudar.
“Claramente, la combinación de esta arquitectura de verificación, los límites de SMS / código y las acciones automatizadas basadas en palabras clave desencadenadas por los correos electrónicos entrantes está abierta al abuso. No hay sofisticación en este ataque; ese es el problema real aquí y WhatsApp debería abordarlo de inmediato”, señaló.
Cabe recordar que para la plataforma técnicamente no hay un ataque, ya que no existe una violación de sus propios métodos de verificación y desactivación de cuenta.
Por el momento, la forma de proteger la cuenta es activando los dos pasos de verificación y estar alerta de no recibir códigos no solicitados, ya que probablemente estamos siendo víctimas de este ataque.