Los investigadores de seguridad Luis Márquez y Ernesto Canales han descubierto un modo de bloquear el WhatsApp de cualquier persona sabiendo únicamente su número de teléfono y, lo peor de todo, es que se trata de un ataque tremendamente sencillo y que no requiere de herramientas especiales. Lo único necesario es paciencia, persistencia y un número de teléfono con WhatsApp.
Para este ataque no es necesario conseguir que la víctima abra un archivo infectado, que instale una app o convencerle para que le des un código de WhatsApp: en su lugar, abusa dos procesos de WhatsApp: la verificación de cuentas y el sistema para recuperar una cuenta.
Bloquear WhatsApp en dos sencillos pasos
No es la primera -y posiblemente no sea la última- vez que hablamos de vulnerabilidades de WhatsApp, aunque en esta ocasión destaca la facilidad de un ataque que no usa nada salvo procesos propios de WhatsApp. No permite a un atacante hacerse con el control de una cuenta, pero sí evitar que tú la uses.
Es decir, cualquier persona tiene el potencial de evitar que sigas usando tu WhatsApp indefinidamente, abusando los procesos que tiene WhatsApp para verificar cuentas y recuperar cuentas perdidas o hackeadas.
El primer que necesita hacer este atacante es usar tu número de WhatsApp para registrarse en un móvil. No podrán completar el registro, pues el código de verificación se enviará por SMS a tu móvil, pero he ahí precisamente el problema: introducirá el código mal varias veces, aprovechando que WhatsApp aumenta progresivamente el tiempo que debes esperar para pedir un nuevo código.
Es preciso recalcar que WhatsApp incluye algunas medidas de seguridad en la verificación de cuentas para que, al menos, estés informado de lo que está sucediendo. Por ejemplo, cuando otra persona intenta registrar tu cuenta de WhatsApp en su teléfono, recibes un aviso en la propia aplicación.
También en el SMS que te llegará llega se indica que "no compartas este código con nadie", aunque aparte de mantenerte informado no hay nada que puedas hacer. A diferencia de avisos similares en Facebook o Google, donde puedes indicar que "No he sido yo", aquí lo único que puedes hacer es tocar en OK y seguir usando WhatsApp como hasta ahora.
Con cada código de verificación introducido erróneamente, el atacante logra aumentar el tiempo que hay que esperar para pedir un nuevo código, llegando a una espera de 12 horas. No obstante, si el atacante tiene la suficiente paciencia como para esperar tres ciclos de 12 horas para volver a pedir e introducir el código erróneamente, el sistema parece bloquearse indicando que la espera es de -1 segundos. En la práctica, no se mandan ya más mensajes de verificación.
Durante todo este proceso, el WhatsApp de la persona que está siendo atacada puede seguir funcionando igual que siempre, a excepción de recibir mensajes SMS con códigos de verificación y que WhatsApp te mostrará el aviso de que alguien está intentando registrar su cuenta. Es entonces cuando comienza la segunda parte del ataque.
Lo siguiente que necesita hacer el atacante es escribir al soporte de WhatsApp para informar de que la cuenta de WhatsApp correspondiente al número de teléfono de la víctima ha sido robado / perdido, y desean desactivar la cuenta. Sin hacer comprobaciones adicionales para determinar que el atacante es el remitente del mensaje, generalmente el soporte de WhatsApp desactivará la cuenta.
Después de que WhatsApp desactive la cuenta, este será el mensaje que se muestre en el WhatsApp de la víctima
Generalmente, si una cuenta de WhatsApp es desactivada, devolverla a la vida es tan fácil como volver a verificar el número de teléfono, pero hay un problema: el atacante antes puede haber bloqueado el envío de códigos de verificación. Llegados a este punto, la víctima tiene su cuenta desactivada y ningún modo de verificarla para volver a usarla.
En la delgada línea que separa el bug de la feature, este problema supone abusar los mismos sistemas de seguridad que deberían proteger nuestras cuentas, y no debería ser difícil para la aplicación de parchear el problema con un sistema para identificar intentos fraudulentos de registro, como otras aplicaciones.
Más información | Forbes
