Cualquiera puede bloquear tu cuenta de WhatsApp con un simple truco

    Un fallo de seguridad de WhatsApp puede hacer que casi cualquier persona bloquee tu cuenta de forma indefinida.

    WhatsApp ya conoce un grave fallo de seguridad que afecta a su app y que puede hacer que cualquiera pueda bloquear tu cuenta en apenas unos minutos. Los investigadores especializados en ciberseguridad, Luis Márquez Carpintero y Ernesto Canales han descubierto este error que aprovecha una vulnerabilidad que afecta a millones de personas de todo el mundo.

    WhatsApp en iPhone
    App de WhatsApp en el iPhone

    Forbes ha publicado un artículo desvelando las conclusions de estos dos investigadores españoles. Lo único que se necesita para bloquear la cuenta de cualquier usuario de WhatsApp es conocer su número de teléfono.

    «Este es otro hack preocupante, uno que podría afectar a millones de usuarios que podrían ser atacados. Con tanta gente confiando en WhatsApp como su principal herramienta de comunicación para fines sociales y laborales, es alarmante con qué facilidad puede ocurrir esto».

    ¿Como funciona este fallo de seguridad de WhatsApp?

    Como seguramente sepas, WhatsApp cuenta con un sistema de autentificación en dos pasos. Cuando iniciamos sesión en un nuevo dispositivo, nos envía un mensaje de texto con un código que debemos introducir para completar el inicio de sesión. Esta vulnerabilidad aprovecha un fallo en este proceso.

    Es un sistema necesario ya que sino, cualquiera con nuestro número de teléfono, podría iniciar sesión con nuestra cuenta de WhatsApp, sin embargo no es un sistema perfecto. Ambos investigadores han descubierto que, si solicitas este código de verificación en repetidas ocasiones, WhatsApp bloquea durante 12 horas la posibilidad de iniciar sesión con ese número de teléfono ya que el sistema limita el número de códigos que se pueden enviar.

    La víctima no parará de recibir códigos de verificación de WhatsApp, pero no sabrá lo que está sucediendo, por lo que lo más normal es que los ignore. Además, esto no debería ser un problema mientras que la cuenta atacada no cierre sesión en la app de WhatsApp que tiene en su móvil, pero aquí es cuando llega el segundo paso.

    Los atacantes envían un mensaje de correo electrónico a la cuenta de soporte oficial de WhatsApp, solicitando el cierre de la cuenta. En el mensaje aparece el número de teléfono y alegan que la cuenta podría haber sido robada.

    Al cabo de muy poco tiempo, los atacantes reciben un correo electrónico generado automáticamente por WhatsApp en el que se indica que la cuenta de WhatsApp de la víctima se ha suspendido correctamente.

    correo WhatsApp
    El correo de soporte de WhatsApp

    Y aproximadamente una hora después, la víctima verá cómo se cierra su cuenta de WhatsApp de su móvil sin que sepa por qué.

    «Tu número de teléfono ya no está registrado con WhatsApp en este teléfono. Esto podría ser porque lo registraste en otro teléfono. Si no lo hiciste, verifica tu número de teléfono para volver a iniciar sesión en tu cuenta».

    Cuando la víctima intenta iniciar sesión de nuevo, se encuentra con que no puede hacerlo debido a la restricción de 12 horas que los atacantes habían forzado anteriormente. Lo cual deja a la víctima sin WhatsApp durante, al menos, 12 horas.

    Si además la víctima se acuerda de los mensajes recibidos e intenta introducir alguno de los números de verificación que anteriormente le habían llegado, el contador de horas seguirá subiendo y tardará más tiempo en poder volver a iniciar sesión con su cuenta de WhatsApp.

    icono de whatsapp
    WhatsApp se enfrenta a usuarios descontentos con sus nuevos términos de uso

    Pero eso no es todo. Parece ser que hay un bug en WhatsApp por el cual, si los atacantes deciden repetir el proceso 3 veces seguidas, WhatsApp puede mostrar el mensaje “Has intentado iniciar sesión demasiadas veces. Inténtalo de nuevo en -1 segundos”.

    Si aparece este mensaje, estas en serios problemas ya que acceder a WhatsApp se volverá casi imposible. Esperar a que la aplicación te permita volver a probar nuevos códigos no funciona y deberás contactar con el soporte técnico de WhatsApp para encontrar una solución.

    Este problema de WhatsApp se produce porque la cuenta está asociada únicamente a un número de teléfono. Si WhatsApp solicitara un correo o una contraseña, este sistema sería inútil.

    Sin embargo, actualmente, ha demostrado ser efectivo y puede boquear tu cuenta de WhatsApp durante mucho tiempo. Que tenga cuidado Marck Zuckerberg que ahora que se ha filtrado su teléfono cualquiera puede bloquear su cuenta de WhatsApp.