La cuenta de cualquier usuario de WhatsApp podría ser desactivada por piratas informáticos que solo necesitarán saber el número de teléfono de su posible víctima. La nueva laguna en el sistema de seguridad de la plataforma fue descubierta por los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña y ha sido descrita con detalle por el experto en materia de seguridad informática Zak Doffman en la revista Forbes.El fraude cibernético consta de dos fases. En un primer lugar, la víctima recibe un SMS o una llamada del sistema de mensajería con un código de seis dígitos, así como una notificación que le avisa de la solicitud del código y que le advierte que no lo comparta con nadie. Como el dueño del dispositivo no puede hacer nada con las claves enviadas, sigue utilizando la aplicación como si nada hubiera pasado.
Mientras el propietario del teléfono se pregunta por qué le llegan las claves, el atacante las introducirá incorrectamente en repetidas ocasiones en su ‘app’. Sin embargo, como existe un límite para enviar estos códigos, tras varios intentos fracasados, el pirata informático podrá bloquear durante 12 horas la cuenta todavía no ‘hackeada’ por completo.
En el marco de la segunda fase de la estafa, el ciberdelincuente envía un mensaje desde un correo electrónico al soporte de WhatsApp con una solicitud para desactivar ‘su cuenta’ por robo o perdida. Asimismo, se adjunta el número móvil de la víctima para ‘comprobar’ su identidad.
Una vez recibido el mensaje, el soporte automático de la aplicación aprueba la desactivación de la cuenta del atacado. Es el número de teléfono que persuade al sistema a dar luz verde al bloqueo, ya que no tiene otros datos de referencia para confirmar la autenticidad de la cuenta.
Problema pendiente
De esta forma, WhatsApp dejará de funcionar en el celular de la víctima, que recibirá la alarmante notificación de que “su número de teléfono ya no está registrado en WhatsApp en este teléfono”.
El servicio de mensajería se negará a darle a la víctima un nuevo código SMS, precisando que deberá esperar 12 horas por haber intentado introducir los dígitos demasiadas veces antes (algo que, en realidad, hizo el ‘hacker’). Sin embargo, transcurrido dicho lapso temporal, aparecerá un mensaje (visto tanto por el atacante, como por el afectado) de que quedan “-1 segundos” para poder generar una nueva clave SMS. Esto, a su vez, evidencia que la cuenta acaba de ser bloqueada permanentemente.
En este caso, al damnificado solo le quedara dirigirse directamente al soporte de WhatsApp para reactivar su cuenta tras realizar una revisión manual del caso.
Entretanto, el servicio de mensajería aún no ha anunciado planes para solucionar la laguna en el sistema de seguridad. Un portavoz de la entidad solo enfatizó que la prestación de la dirección del correo electrónico, junto con la verificación de dos pasos, podría evitar que se produzcan este tipo de ataques.