/ lunes 12 de abril de 2021

Una vulnerabilidad de WhatsApp permite bloquear una cuenta sólo con saber su número de teléfono

El fallo de seguridad de la 'app' se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella

La aplicación de mensajería WhatsApp contiene un nuevo fallo de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado, en un proceso que puede llevarse a cabo en doce horas.

Así lo han alertado los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, que han explicado que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de doble factor que usa WhatsApp para incorporar una capa adicional de seguridad, como recoge Forbes.

El fallo de seguridad de la 'app' se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.

La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto.

El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando deforma normal su cuenta de WhatsApp, solamente con conocer el número de teléfono de la víctima.

Al introducir de forma repetida una clave SMS errónea -que el usuario ignorará porque no los ha solicitado ni tiene la posibilidad de introducirlos-, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.

Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.

Tras esto, WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.

No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan "-1segundos" para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.

De esta manera, la cuenta del usuario queda bloqueada deforma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si contacta directamente con el soporte de WhatsApp para que revise el caso manualmente.

La aplicación de mensajería WhatsApp contiene un nuevo fallo de seguridad que permite a los cibercriminales bloquear la cuenta de cualquier usuario solo con conocer su número de teléfono asociado, en un proceso que puede llevarse a cabo en doce horas.

Así lo han alertado los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña, que han explicado que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de doble factor que usa WhatsApp para incorporar una capa adicional de seguridad, como recoge Forbes.

El fallo de seguridad de la 'app' se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella.

La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto.

El fallo de seguridad reside en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando deforma normal su cuenta de WhatsApp, solamente con conocer el número de teléfono de la víctima.

Al introducir de forma repetida una clave SMS errónea -que el usuario ignorará porque no los ha solicitado ni tiene la posibilidad de introducirlos-, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto.

Como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada. En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta.

Tras esto, WhatsApp comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta. Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes.

No obstante, transcurridas las doce horas, en lugar de habilitarse un nuevo código, WhatsApp avisa de que quedan "-1segundos" para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante.

De esta manera, la cuenta del usuario queda bloqueada deforma permanente, según explican los investigadores, y la víctima ya solo podrá reactivarla si contacta directamente con el soporte de WhatsApp para que revise el caso manualmente.

Local

Ciudadanos respaldan permanencia del Ejército en Acapulco

No se debe de acceder a chantajes y amenazas para sacar a elementos del Ejército Mexicano

Local

Acapulco no puede comprar problemas ajenos: Abelina

Cuando un movimiento se desfasa ya no le corresponde al municipio tratarlo sino a la Fiscalía del estado, señaló la alcaldesa

Estado

Presume SEG aumento de 7.5% al salario del magisterio

Se otorgará a los 62 mil 753 trabajadores de la Educación de Guerrero

Estado

Pone en marcha rector de la UAGro, obras en dos escuelas

Estas acciones tienen el objetivo de lograr una mejora en la infraestructura de la Universidad

Local

Un riesgo, producir licor de sabores sin certificar

Marcos Godínez Jiménez, fabricante de mezcal, recomendó evitar el consumo de esta bebida si no cuenta con la certificación de origen y de calidad

Estado

¡Impunidad! Normalistas de Ayotzinapa roban vehículos en la Autopista

Autoridades no movieron un dedo para evitar que se apoderaran de autobuses y unidades de empresas

Local

Lamenta comunidad LGBT promesa incumplida de Abelina

La alcaldesa anunció que no se creará la Dirección de la Diversidad Sexual por falta de presupuesto; “no hay voluntad política “, reprochan

Local

Hay conflictos de intereses tras protesta en CAPAMA

Rechaza el director de la paramunicipal, Arturo Latabán López, que exista desvío de recursos en contratación de empresas

Ciencia

Científicos descubren bosque al fondo de un sumidero en China con especies aún no registradas

Este sumidero es el más profundo del mundo e incluso se ha sido paisaje en el que se han grabado películas por ser único y majestuoso