Si es un usuario frecuente de WhatsApp, es posible que desee estar atento a un agujero perturbador descubierto en su seguridad este fin de semana. Es posible que un atacante pueda suspender completamente tu cuenta de WhatsApp. ¿Y lo peor? Sin ningún recurso para el usuario individual, y todo lo que necesita es tu número de móvil. En el momento de escribir este artículo, no hay solución para este problema.
Esta falla recién descubierta utiliza dos vectores separados. El atacante instala WhatsApp en un nuevo móvil e ingresa tu número para activar el servicio de chat. No pueden verificarlo porque, por supuesto, el sistema de autenticación de dos factores envía las indicaciones de inicio de sesión a tu teléfono. Después de varios intentos repetidos y fallidos, tu inicio de sesión se bloquea durante 12 horas.
Aquí es donde entra la parte complicada
Con tu cuenta bloqueada, el atacante envía un mensaje de soporte a WhatsApp desde tu dirección de email. En ese email alega que su (tu) teléfono se ha perdido o se lo han robado, y que la cuenta asociada con su número debe ser desactivado. WhatsApp «verifica» esto con un correo electrónico de respuesta y logra suspender tu cuenta de WhatsApp sin ninguna entrada de su parte. El atacante puede repetir el proceso varias veces seguidas para crear un bloqueo semipermanente en tu cuenta.
El ataque es una prueba de concepto de un par de investigadores de seguridad, Luis Márquez Carpintero y Ernesto Canales Pereña; fue informado por primera vez por Forbes. Los resultados son inquietantes, pero al menos, este método no se puede utilizar para obtener acceso a una cuenta, simplemente para bloquear el acceso de su propietario legítimo. Los mensajes de texto y los contactos confidenciales no están expuestos.
No hay indicios de que esta técnica se esté utilizando en la naturaleza. Pero cuando se le presionó para hacer comentarios, WhatsApp fue evasivo y no indicó que esté trabajando para resolver el agujero en su seguridad. Un representante dijo que proporcionar una dirección de correo electrónico con sus credenciales de autenticación de dos factores puede ayudar a evitar este escenario hipotético. No obstante, aún pone la responsabilidad en WhatsApp de seguir sus propias mejores prácticas.
WhatsApp, que es propiedad de Facebook , advierte que el uso de esta vulnerabilidad viola sus términos de servicio. Lo cual no es un gran impedimento, ya que se puede realizar de forma anónima con cualquier móvil y un correo electrónico desechable. Como opinó un miembro del personal de Android Police, tal vez «se solucione cuando alguien haga esto con el número de Zuckerberg, que recientemente se filtró en un volcado de cuenta de Facebook«. Parece que los problemas de seguridad, y una respuesta poco satisfactoria a ellos, seguirán siendo un problema en el creciente imperio corporativo de Facebook.
:)