Las cuentas de WhatsApp pueden ser suspendidas o bloqueadas por cualquier usuario que tenga tu número telefónica.  La reciente alerta fue descubierta por usuarios de Reddit, que señalaron que la plataforma de mensajería no puede resolver el problema ya que técnicamente no existe una vulnerabilidad.

Al respecto, Zack Doffman, experto en ciberseguridad escribió para la revista Forbes un artículo. En el expone cómo funciona este ataque que según el propio Doffman, “no debería pasar en una plataforma usada por 2 millones de personas. No tan fácilmente”.

Y agregó: “Esta vulnerabilidad de seguridad recientemente revelada involucra dos procesos de WhatsApp separados, los cuales tienen una debilidad fundamental. Y es la combinación de esas dos debilidades lo que puede desactivar tu WhatsApp y evitar que vuelvas a entrar”, señaló.

Debilidad de los dos pasos de verificación de la cuenta

Cuando se instala por primera vez WhatsApp en los teléfonos o se cambia el dispositivo, la plataforma envía un SMS con un código de verificación de cuenta. Una vez que es ingresado, la app les pide a los usuarios confirmar la verificación en dos pasos (2FA, two-factor authentication), para poder asegurarse de que son los dueños de la cuenta y así dejarlos entrar.

Doffman destacó que esta es la primera fragilidad que posee la plataforma, ya que cualquier persona puede instalar WhatsApp en un teléfono e ingresar el número que quiera. El ciberatacante puede hacer esto con tu número de teléfono de WhatsApp mientras la víctima continúa usando la aplicación con normalidad.

“Solicitará códigos repetidamente e ingresará conjeturas incorrectas en la aplicación. Recibirás los códigos SMS, quizás también llamadas, pero no hay nada que hacer con ellos, no hay ningún lugar para ingresar estos códigos”. Destacó.

El proceso de verificación de WhatsApp se vuelve un problema por la cantidad de códigos que se pueden enviar. Después de algunos intentos, WhatsApp dirá: “Reenviar SMS / Llámame en 12 horas”, por lo que no se pueden generar nuevos códigos.

La segunda vulnerabilidad es la solicitud por correo electrónico para que WhatsApp desactive una cuenta. Ya que no es necesario un email vinculado, la app procederá a realizar la solicitud sin importar los pasos de verificación de cuenta.

Tras recibir la notificación de WhatsApp en donde se confirma que la cuenta fue suspendida, lo lógico será intentar reactivarla, pero el código de confirmación, no será enviado inmediatamente ya que técnicamente lo enviaron antes y deben pasar 12 horas hasta que la función se restablezca.

El atacante en este punto logró incomunicarte por horas y podrá continuar con el proceso de desactivación de cuenta enviando el mismo email a WhatsApp, el cual, a diferencia de los códigos, no es limitado.

El especialista en ciberataque reconoce que si esto ocurre ya es “demasiado tarde” para recuperar la cuenta y la única alternativa será ponerse en contacto con WhatsApp e intentar encontrar a alguien que pueda ayudar.

“Claramente, la combinación de esta arquitectura de verificación, los límites de SMS / código y las acciones automatizadas basadas en palabras clave desencadenadas por los correos electrónicos entrantes está abierta al abuso. No hay sofisticación en este ataque; ese es el problema real aquí y WhatsApp debería abordarlo de inmediato”, señaló.

Por último, para la app de mensajería instantánea, técnicamente no hay un ataque. No existe una violación de sus propios métodos de verificación y desactivación de cuenta.