WhatsApp en la aplicación de mensajería instantánea más utilizada de todo el mundo con alrededor de 2000 millones de usuarios activos que no dudan en confiar en esta aplicación de Facebook para comunicarse con sus seres queridos o incluso para mantener reuniones de trabajo.

Sin embargo, la aplicación tiene una importante vulnerabilidad que permitiría a cualquier atacante bloquear el número de teléfono de la víctima con un sencillo procedimiento, incluso aunque tenga activada la autenticación a dos pasos. El fallo de seguridad ha sido reportado por los investigadores españoles Luis Márquez Carpintero y Ernesto Canales Pereña, de la Universidad de Alicante, informando inicialmente al medio Forbes que ha reproducido el fallo de seguridad.

Este fallo está relacionado con el método que utiliza WhatsApp a la hora de verificar nuevos registros de teléfonos. Y es que cuando registras de forma original tu número de teléfono en WhatsApp, se te enviará directamente un código SMS para verificar la cuenta. Hasta aquí todo normal, pero se puede explotar este acontecimiento de manera fraudulenta para bloquear definitivamente la cuenta objetivo.

Cómo funciona esta vulnerabilidad y así la explotaría un ciberdelincuente

Para ello, un atacante tendría como objetivo tu número de teléfono, y básicamente intentaría registrarlo en su dispositivo. En ese caso al meter tu número de teléfono tú mismo estarías recibiendo constantemente SMS con un código de seis dígitos para su verificación. Ahora no hay ningún riesgo, dado que directamente estarías ignorando estos SMS y no perderías la cuenta.

El problema es que si el atacante realiza de forma continua esta petición de códigos utilizando tu propio número de teléfono, se empezaría a explotar el fallo. Y es que después de algunos intentos, el WhatsApp del atacante llegará un momento en el que ya no pueda generar más códigos SMS para verificación bloqueando así las entradas de código en la aplicación después de varios intentos.

Aunque la víctima seguiría utilizando WhatsApp sin ningún problema, ya el atacante habría conseguido su primer objetivo: que se bloquee cualquier envío de código nuevo a tu propio número de teléfono.

Fallo WhatsApp

Forbes

Ahora que el atacante ha conseguido bloquear que tu número de teléfono reciba nuevos SMS, enviaría un correo electrónico con alguna cuenta que se haya creado a support @ whatsapp.com.

Básicamente en el asunto pondría que se trata de una cuestión relacionada con una cuenta perdida o robada y en el cuerpo vendría decir que “por favor, desactiven dicho número de teléfono” para que no pueda seguir utilizando la aplicación.

Así que WhatsApp habría recibido un correo electrónico fraudulento del propio atacante que se habría pasado por ti. Los ingenieros de WhatsApp comprobarían que, efectivamente, ese número de teléfono que se reclama como robado ahora mismo está bloqueado por numerosas peticiones de validación. Aquí WhatsApp no tiene forma de saber si realmente este correo electrónico es real o no, pero en vista de que comprueban que el número de teléfono está bloqueado para recibir SMS, ven que algo no está bien y proceden con su desactivación de la cuenta, tu cuenta.

Aquí es cuando el WhatsApp de la víctima deja de funcionar de golpe, y la primera vez que el atacante ha conseguido bloquearte la cuenta, y únicamente sabiendo tu número de teléfono.

La víctima recibirá una notificación donde se le dice que su número ha sido desactivado, y que por favor verifique su número de teléfono para volver a iniciar sesión en su cuenta. Esto sucede incluso aunque tengas activada la verificación a dos pasos en tu cuenta de WhatsApp.

Esto no debería ser un problema, porque básicamente introducirías tu número de teléfono, recibirías un SMS y volverías a verificar la cuenta para volver a utilizar la aplicación. Pero claro, es que tu número de teléfono ya está bloqueado para recibir SMS durante 12 horas, con lo que tendrías ahora mismo bloqueada la cuenta durante al menos 12 horas sin poder verificarla.

Y aquí es donde viene el fallo de WhatsApp. Y es que el atacante, al pasar esas 12 horas, podría repetir el proceso para que se te vuelva a bloquear la recepción del SMS de verificación, y así hasta que llega el tercer ciclo de las 12 horas de bloqueo.  Llegado este punto, se bloquearía de forma permanente la recepción de SMS en tu número de teléfono, y ya jamás podrías volver a recuperar tu cuenta.

De esta manera, la combinación de esta arquitectura de verificación de WhatsApp con los límites de envío de SMS y los códigos, y todas las acciones automatizadas basadas en palabras clave como “robo de cuenta” o “desactivación de la cuenta”, juegan una mala pasada a WhatsApp y podrían ser utilizadas por algún atacante para bloquear directamente tu número de teléfono de la aplicación.

Así que cualquier persona podría abusar de tu número de teléfono para molestarte para que no puedas usar la aplicación de forma permanente.

En respuesta a estas cuestiones, un portavoz de WhatsApp ha señalado a Forbes que “proporcionar una dirección de correo electrónico con la verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.

Sí, esta cuestión no ayudaría en concreto a la víctima, pero el atacante podría enfrentarse a consecuencias legales desde la propia WhatsApp por intentar bloquear números de teléfono objetivos de esta manera.

WhatsApp no ha confirmado que vaya a solucionar esta vulnerabilidad relacionada con su arquitectura de verificación de números de teléfono, pero se espera que muevan ficha próximamente.