Cualquier persona que tenga tu número de teléfono puede suspender tu cuenta de WhatsApp

Si eres un usuario frecuente de WhatsApp, es posible que desees estar atento a un agujero perturbador descubierto en tu seguridad este fin de semana. Es posible que un atacante suspenda completamente tu cuenta de WhatsApp, sin ningún recurso para el usuario individual, y todo lo que necesita es tu número de teléfono. En el momento de escribir este artículo, no hay solución para este problema.

Esta falla recién descubierta utiliza dos vectores separados. El atacante instala WhatsApp en un nuevo dispositivo e ingresa su número para activar el servicio de chat. No pueden verificarlo porque, por supuesto, el sistema de autenticación de dos factores envía las indicaciones de inicio de sesión a tu teléfono. Después de varios intentos repetidos y fallidos, tu inicio de sesión se bloquea durante 12 horas.

Aquí es donde entra la parte complicada: con tu cuenta bloqueada, el atacante envía un mensaje de soporte a WhatsApp desde su dirección de correo electrónico, alegando que su (tu) teléfono se ha perdido o se lo han robado, y que la cuenta asociada con tu número debe ser desactivado. WhatsApp “verifica” esto con un correo electrónico de respuesta y suspende tu cuenta sin ninguna entrada de tu parte. El atacante puede repetir el proceso varias veces seguidas para crear un bloqueo semipermanente en tu cuenta.

El ataque es una prueba de concepto de un par de investigadores de seguridad, Luis Márquez Carpintero y Ernesto Canales Pereña, y fue informado por primera vez por Forbes. Los resultados son inquietantes, pero al menos, este método no se puede utilizar para obtener acceso a una cuenta, simplemente para bloquear el acceso de su propietario legítimo. Los mensajes de texto y los contactos confidenciales no están expuestos.

Credito: Forbes

No hay indicios de que esta técnica se esté utilizando en la naturaleza. Pero cuando se le presionó para hacer comentarios, WhatsApp fue evasivo y no indicó que esté trabajando para resolver el agujero en su seguridad. Un representante dijo que proporcionar una dirección de correo electrónico con tus credenciales de autenticación de dos factores puede ayudar a evitar este escenario hipotético, pero que aún pone la responsabilidad en WhatsApp de seguir sus propias mejores prácticas.

WhatsApp, que es propiedad de Facebook , advierte que el uso de esta vulnerabilidad viola sus términos de servicio. Lo cual no es un gran impedimento, ya que se puede realizar de forma anónima con cualquier dispositivo móvil y un correo electrónico desechable. Como opinó un miembro del personal de Android Police, tal vez “se solucione cuando alguien haga esto con el número de Zuckerberg, que recientemente se filtró en un volcado de cuenta de Facebook “. Parece que los problemas de seguridad, y una respuesta poco satisfactoria a ellos, seguirán siendo un problema en el creciente imperio corporativo de Facebook.

Artículo citado de AndroidPolice