Bloquear una cuenta de WhatsApp con un simple número de teléfono

WhatsApp corre el riesgo de vaciarse de sus usuarios. No solo con el auge de las herramientas de mensajería y comunicación encriptadas como Signal o Telegram desde el cambio en sus condiciones generales de uso. Pero también por la posibilidad de que un usuario malintencionado destruya las cuentas de otros simplemente usando su número de teléfono. Un horizonte escalofriante, especialmente porque la activación de la opción de autenticación de doble factor no cambia la situación por el momento. Descubierto por investigadores de seguridad , Luis Márquez Carpintero y Ernesto Canales Pereña y narrado por Forbes, esta debilidad provocó una reacción. En particular, Jake Moore, investigador de Eset, advierte que millones de usuarios que utilizan esta solución como su principal servicio de colaboración corren el riesgo de ser a costa de ellos.

Tenga en cuenta que este exploit no es similar a piratería, sino más a manipulación aprovechando las deficiencias de WhatApp en términos de solicitud de desactivación y recuperación de cuentas. ¿Cuál es su modus operandi? En primer lugar, un atacante solicita la creación de una cuenta de WhatsApp ingresando el número de teléfono del usuario cuya cuenta quiere destruir. Una operación aparentemente ineficiente, que resulta en el envío de múltiples mensajes de solicitud de verificación de número de teléfono al usuario.

Bloquear el proceso de reinscripción

Repetida varias veces, esta acción da como resultado el bloqueo del envío de nuevos códigos de creación de cuenta durante un período de 12 horas: se inicia la primera etapa de destrucción de la cuenta de destino. El atacante, a través de una dirección de Gmail que falsifica el nombre de la víctima, se pone en contacto con el soporte de WhatsApp solicitando la desactivación de la cuenta con el número de teléfono del objetivo. La soga se está apretando: se envía una notificación al usuario real de que hay una solicitud de desactivación en curso ... y que no se puede enviar ningún código de verificación porque se han realizado demasiadas solicitudes previas. Al aumentar el número de solicitudes de soporte de desactivación, el atacante finalmente crea un bloqueo hasta el punto de evitar que el usuario se vuelva a registrar y acceda a su cuenta.

“Obviamente, la combinación de esta arquitectura de verificación, límites de código / SMS y acciones automatizadas basadas en palabras clave desencadenadas por correos electrónicos entrantes está sujeta a abusos. No hay sofisticación en este ataque, este es el problema real aquí y WhatsApp debería solucionarlo de inmediato ”, señala Zak Doffman, CEO y fundador de Digital Barriers. “Hay varias razones por las que podría ser beneficioso bloquear a alguien de su herramienta de mensajería preferida. No debería ser tan fácil. Y no debería funcionar cuando 2FA está habilitado, como sucedió en esta aplicación de destino ”.

No hay duda de que WhastApp no ​​debería tardar en reaccionar para llenar este vacío, explotando aún más su falta de mecanismos de verificación de identidad, reduciendo la muy útil función MFA al papel de simple foil.