Seleccionar página
Un fallo de WhatsApp permite bloquear la cuenta de cualquier usuario en 5 minutos
12 de abril de 2021

Autor: Nelson Montoya

Todas las cuentas de WhatsApp están en peligro por culpa de un simple fallo de seguridad. Así puedes evitarlo.

Los investigadores especializados en ciberseguridad, Luis Márquez Carpintero y Ernesto Canales Pereña, han descubierto un método que permite bloquear el acceso a cualquier cuenta de WhatsApp, a través de un proceso que no toma mucho más de cinco minutos. Todo se debe a una vulnerabilidad descubierta en la plataforma, que podría llegar a afectar a millones de personas en todo el mundo.

Tal y como los investigadores explican a Forbes, los atacantes solo necesitarían conocer el número de teléfono de sus víctimas para llevar a cabo el ataque. Y teniendo en cuenta que la propia Facebook dejó públicos los números de teléfono de más de medio millón de personas, no debería ser demasiado difícil para estos atacantes dar con el número de sus objetivos.

¿En qué consiste la vulnerabilidad?

El proceso de verificación en dos factores que WhatsApp habilita por defecto al crear una cuenta en el servicio es uno de los elementos más débiles de la aplicación, dado que entra en juego el factor humano y los atacantes pueden aprovecharse de ello para acceder a las cuentas de sus víctimas.

El funcionamiento de este sistema es sencillo: cuando se descarga la app de WhatsApp en un móvil, se pide introducir el número de teléfono y, posteriormente, un código recibido por SMS para verificar la cuenta. Si el código es correcto, la app solicitará el código de verificación en dos factores para identificar al usuario.

No obstante, cualquiera puede introducir un número de teléfono de otra persona al instalar WhatsApp en un dispositivo. Cuando un atacante tiene el objetivo de bloquear la cuenta de su víctima, introduce el número de esta, solicitando el código de verificación que le permita verificar a la cuenta.

Pero dado que dicha cuenta se encuentra iniciada en el móvil de su víctima, esta comenzará a recibir códigos de verificación y notificaciones que indican que se está intentando iniciar sesión en otro dispositivo. Lo más lógico sería ignorar dichas notificaciones, ¿no?

El problema es que, cuando se ha solicitado un número determinado de códigos en un breve espacio de tiempo, WhatsApp bloqueará el intento de acceso a la cuenta durante 12 horas, impidiendo realizar nuevos intentos de inicio de sesión. Esto, en principio, no debería ser un problema para la víctima a menos que decida cerrar sesión de su cuenta –por ejemplo, para cambiar de móvil–.

Pero es en este momento cuando el atacante llevaría a cabo el último paso en su objetivo de bloquear la cuenta de su víctima. Para ello, basta con enviar un mensaje de correo electrónico a la cuenta de soporte de WhatsApp, solicitando el cierre de la cuenta, alegando que esta podría haber sido robada. Dicho mensaje contiene el número de teléfono de la víctima.

El correo con el que WhatsApp afirma haber suspendido la cuenta de un usuario.

Poco tiempo después, un correo electrónico generado automáticamente por WhatsApp es recibido por el atacante, en el que se indica que la cuenta de WhatsApp se ha suspendido correctamente. Y poco después, la víctima ve cómo su cuenta de WhatsApp ha sido eliminada de su móvil, y ya no puede utilizar la aplicación de mensajería.

Al intentar volver a iniciar sesión, la víctima ve cómo existe una restricción que impide recibir nuevos códigos de verificación hasta pasadas 12 horas, debido al bombardeo de intentos de inicio de sesión realizado por el atacante unos minutos atrás. Y en caso de intentar introducir alguno de los códigos que se han recibido anteriormente por SMS, el contador de horas continuará aumentando.

Aquí, entra en juego lo que parece ser un bug de WhatsApp. Y es que al intentar iniciar sesión en la cuenta cuando ya se ha intentado previamente y los intentos han sido bloqueados durante 12 horas, WhatsApp puede mostrar el texto “Has intentado iniciar sesión demasiadas veces. Inténtalo de nuevo en -1 segundos”. Ahora, el desastre en prácticamente inevitable y esperar a que la aplicación permita volver a probar nuevos códigos es simplemente inútil. Solo queda intentar contactar con el soporte técnico de WhatsApp en busca de una solución.

Desafortunadamente, WhatsApp no parece tener intención de poner una solución efectiva a este problema. Alegan que “las circunstancias identificadas por los investigadores violarían los términos del servicio”, pero dudo que eso vaya a ser un problema para futuros atacantes, dado que ni siquiera necesitan contar con un número de teléfono o tarjeta SIM asociados al móvil con el que se llevará a cabo el ataque: basta con tener una conexión Wi-Fi y un móvil con WhatsApp descargado.

Una de las maneras de intentar librarse de este tipo de ataques consiste en activar el sistema de verificación en dos pasos en WhatsApp, y asociar una dirección de correo electrónico. Eso podría facilitar las cosas a la hora de intentar recuperar la cuenta. O si no, también puedes hacer como Mark Zuckerberg y pasarte a una alternativa más segura, como SIgnal. jajajajaja

fuente: https://andro4all.com/

Porque el conocimiento es libre 

Cibertura

Satisfacción de nuestros clientes mediante la innovación de procesos sencillos, con la tecnología más avanzada que sea adaptable a sus necesidades y economía

Super Combo Web

Este paquete esta creado para aquellos que deseen con solo un click tener su página web construida, ya que este paquete incluye dominio, hosting o alojamiento web, correo empresarial y Diseño de pagina web (Plan Flash)

Instalación y venta de cámaras de Seguridad

Sistemas de video vigilancia o cámaras de seguridad, los cuales le permiten ver las cámaras de su negocio u hogar desde cualquier sitio que se encuentre, en cualquier momento del día, con solo una conexión de internet.

Diseño páginas

Nuestro equipo está en la capacidad de construir páginas web deacuerdo a su necesidad, desde páginas web pequeñas, páginas web empresariales, páginas web personalizados o tiendas en línea con integración a métodos de pago.

Quizás te interese leer

Cómo localizar un teléfono móvil robado o perdido

Cómo localizar un teléfono móvil robado o perdido

No hay nada más desagradable que perder nuestro móvil o en caso más extremo ser víctima de robo. Los Smartphone contienen información de suma importancia y todos llevamos media vida dentro de nuestro teléfono. Perder fotos, notas importantes,...

Cómo pueden usar tu VPN para atacarte

Cómo pueden usar tu VPN para atacarte

Utilizar un programa VPN es algo que está cada vez más presente entre los usuarios. Tenemos muchas opciones disponibles, tanto para dispositivos móviles como ordenadores. También podemos utilizar aplicaciones gratuitas y de pago. Ahora bien, ¿Qué ocurre con...

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Necesitas ayuda?