WhatsApp no es la plataforma más segura del planeta. Eso lo sabemos todos de sobra desde hace bastante tiempo. Incluso en lo que respecta a la privacidad de sus usuarios deja mucho qué desear.
Pero eso no quita el hecho de que sea la plataforma más popular del planeta en su segmento. Y se ha convertido a estas alturas en una aplicación necesario para la interacción personal, laboral, profesional y hasta de negocios.
Por ello resulta especialmente perturbador el hallazgo de un método ridículamente sencillo para bloquear de manera permanente cualquier cuenta de WhatsApp en tan sólo 36 horas.
Y lo único que se necesita para hacerlo es conocer el número de teléfono de la víctima. Nada más.
WhatsApp tiene un correo con procesos automatizados
Resulta que un par de investigadores, Luis Márquez Carpintero y Ernesto Canales Pereña, entraron en contacto con el editor de Forbes, Zak Doffman. Para demostrarle un hallazgo encontrado por ellos con el que es posible desactivar y bloquear de manera permanente cualquier cuenta de esta app.
El proceso es extraordinariamente sencillo y sólo exige paciencia constante por parte del atacante que, dicho sea de paso, no requiere tener el más mínimo conocimiento tecnológico para lograr su objetivo.
Por esta y otras obvias razones no detallaremos a profundidad cómo se hace el ataque. Ya que esa información podría ser utilizada de manera nociva por cualquiera.
Pero a grandes rasgos en esto consiste el fallo de seguridad. Donde utilizan un proceso automatizado de una dirección oficial de e-mail para perpetrar la fechoría:
Cómo logran bloquear la cuenta
- El atacante conoce el número de la víctima. Así que descarga WhatsApp en un smartphone distinto a donde se aloja la cuenta.
- Inicia el proceso de bloquear la cuenta ingresando el número de teléfono de la cuenta de WhatsApp.
- Se activa en automático el proceso de envío del código de verificación de seis dígitos por SMS o por llamada.
- La víctima recibe la notificación en su cuenta aún activa y su smartphone. Pero como no han hecho nada ignoran los mensajes.
- El atacante repite el proceso muchas veces desde el smartphone donde instaló WhatsApp, hasta que activa un bloqueo temporal de 12 horas que impide mandar más códigos de verificación.
- La víctima deja de recibir la lluvia de códigos de verificación. Pero el atacante en este punto puede mandar un mensaje al correo electrónico oficial de soporte técnico de WhatsApp.
- Este correo tiene algunas respuestas automatizadas, en donde si el mensaje incluye algunas palabras clave y el número completo de la víctima procede a suspender la cuenta en automático.
Y lo que falta…
Pero ese sería sólo parte del principio de la pesadilla. Ya que la víctima al intentar utilizar algunos de los códigos antes recibidos encontrará que ya no son válidos.
Al intentar pedir un nuevo código de verificación encontrará también que la función está suspendida por 12 horas. Y si el atacante vuelve a repetir el proceso de bombardeo una vez acabado ese lapso en tres olas consecutivas se activa un bug.
En este fallo WhatsApp ya no suspende la función de pedir un nuevo código de verificación por 12 horas, sino que se bloquea por completo con el término de “-1 segundo”.
Con lo cual es imposible recuperar la cuenta.