La cuenta de cualquier usuario de WhatsApp podrÃa ser desactivada por piratas informáticos que solo necesitarán saber el número de teléfono de su posible vÃctima. La nueva laguna en el sistema de seguridad de la plataforma fue descubierta por los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña y ha sido descrita con detalle por el experto en materia de seguridad informática Zak Doffman en la revista Forbes.
El fraude cibernético consta de dos fases. En un primer lugar, la vÃctima recibe un SMS o una llamada del sistema de mensajerÃa con un código de seis dÃgitos, asà como una notificación que le avisa de la solicitud del código y que le advierte que no lo comparta con nadie. Como el dueño del dispositivo no puede hacer nada con las claves enviadas, sigue utilizando la aplicación como si nada hubiera pasado.
Mientras el propietario del teléfono se pregunta por qué le llegan las claves, el atacante las introducirá incorrectamente en repetidas ocasiones en su ‘app’. Sin embargo, como existe un lÃmite para enviar estos códigos, tras varios intentos fracasados, el pirata informático podrá bloquear durante 12 horas la cuenta todavÃa no ‘hackeada’ por completo.
En el marco de la segunda fase de la estafa, el ciberdelincuente envÃa un mensaje desde un correo electrónico al soporte de WhatsApp con una solicitud para desactivar ‘su cuenta’ por robo o perdida. Asimismo, se adjunta el número móvil de la vÃctima para ‘comprobar’ su identidad.
Una vez recibido el mensaje, el soporte automático de la aplicación aprueba la desactivación de la cuenta del atacado. Es el número de teléfono que persuade al sistema a dar luz verde al bloqueo, ya que no tiene otros datos de referencia para confirmar la autenticidad de la cuenta.
Problema pendiente
De esta forma, WhatsApp dejará de funcionar en el celular de la vÃctima, que recibirá la alarmante notificación de que “su número de teléfono ya no está registrado en WhatsApp en este teléfono”.
El servicio de mensajerÃa se negará a darle a la vÃctima un nuevo código SMS, precisando que deberá esperar 12 horas por haber intentado introducir los dÃgitos demasiadas veces antes (algo que, en realidad, hizo el ‘hacker’). Sin embargo, transcurrido dicho lapso temporal, aparecerá un mensaje (visto tanto por el atacante, como por el afectado) de que quedan “-1 segundos” para poder generar una nueva clave SMS. Esto, a su vez, evidencia que la cuenta acaba de ser bloqueada permanentemente.
En este caso, al damnificado solo le quedarña dirigirse directamente al soporte de WhatsApp para reactivar su cuenta tras realizar una revisión manual del caso.
Entretanto, el servicio de mensajerÃa aún no ha anunciado planes para solucionar la laguna en el sistema de seguridad. Un portavoz de la entidad solo enfatizó que la prestación de la dirección del correo electrónico, junto con la verificación de dos pasos, podrÃa evitar que se produzcan este tipo de ataques.