La falla de WhatsApp permite que cualquiera pueda bloquear su cuenta


Un atacante puede bloquearlo de la aplicación usando solo su número de teléfono y sin requerir ninguna acción de su parte

Si united states WhatsApp, es posible que desee tener cuidado con un ataque en el que los ciberdelincuentes podrían suspender su cuenta utilizando solo su número de teléfono. La laguna subyacente abusa de un lapso en la seguridad de dos procesos independientes de WhatsApp, según Forbes, que citó investigaciones de Luis Márquez Carpintero y Ernesto Canales Pereña.

Por contexto, cuando pasa por primera vez por el proceso de configurar su cuenta de WhatsApp en un dispositivo, se le solicita su número de teléfono al que se envía un código de verificación. Una vez que ingrese el código, se le solicitará su número de autenticación de dos factores (2FA) para confirmar su identidad.

Sin embargo, no hay forma de evitar que alguien use su número en el proceso de verificación. Si un atacante hiciera eso, recibirías llamadas y mensajes de WhatsApp con un código de verificación, junto con una notificación que te insta a no compartir el código de registro con nadie. El delincuente podría hacer esto repetidamente, mientras que usted podría ignorar los mensajes como un error.

En última instancia, las solicitudes activarían el límite de WhatsApp en la cantidad de veces que se pueden enviar los códigos y también causarían que los códigos se bloqueen después de varios intentos incorrectos, ambos durante 12 horas. El tiempo de espera también lo afectaría, aunque es posible que no se dé cuenta a menos que cierre la sesión en el ínterin.

En el siguiente paso, el actor de amenazas crearía una nueva dirección de correo electrónico y enviaría un correo electrónico al soporte de WhatsApp con el asunto «teléfono perdido / robado» y les pedirá que desactiven su número. Al parecer, la plataforma verificará la “identidad” del atacante solo enviando un correo electrónico automático que solicita su número nuevamente, a lo que el imitador obedecerá. WhatsApp suspenderá su cuenta. Y dado que se alcanzó el límite de intentos de verificación, no podrá iniciar sesión hasta que se agote el temporizador de 12 horas.

LECTURA RELACIONADA: El malware Wormable de Android se propaga a través de los mensajes de WhatsApp

Desafortunadamente, si el atacante abusara del ciclo de 12 horas tres veces seguidas, WhatsApp fallaría y, en lugar de pedirle al usuario que «intente nuevamente después de 12 horas», mostrará un mensaje que dice «intente nuevamente después de -1 segundos». . Los investigadores advirtieron que si el atacante esperaba hasta este punto, no habría forma de recuperar su cuenta a menos que encuentre a alguien en WhatsApp dispuesto a ayudar.

En declaraciones a Forbes, un portavoz de WhatsApp dijo que “proporcionar una dirección de correo electrónico con su verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco possible. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar «.

El problema ha llamado la atención del especialista en seguridad de ESET, Jake Moore, quien recientemente mostró cómo alguien podría toma el command de tu cuenta de WhatsApp con solo saber tu número de teléfono. Moore advirtió que la nueva falla no debe tomarse a la ligera, especialmente porque podría afectar a millones y es relativamente fácil de lograr.

“No hay forma de optar por no ser descubierto en WhatsApp”, dijo. “Cualquiera puede escribir un número de teléfono para localizar la cuenta asociada, si existe. Idealmente, un movimiento para centrarse más en la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos «.





Enlace a la noticia original