Otro día, otro nuevo fallo de seguridad que se ha subrayado en el ecosistema de WhatsApp. El último es un poco extraño, porque no implica explotar un truco oculto de día cero, o cualquier situación similar. En cambio, lo que hace es explotar pequeñas lagunas en el sistema de verificación e inicio de sesión de WhatsApp para bloquear a un usuario de sus chats de WhatsApp, lo que provoca una interrupción del flujo de trabajo, pérdida de datos e inconvenientes generales. Informado por los investigadores de seguridad Luis Carpintero y Ernesto Perena con Forbes, la falla de WhatsApp mencionada es un ataque muy poco sofisticado que utiliza técnicas rudimentarias pero claramente efectivas para bloquear potencialmente a un usuario de su cuenta, para siempre.
La falla comienza cuando un atacante apunta al número de teléfono de una persona varias veces con intentos de inicio de sesión. Una cosa a tener en cuenta aquí es que incluso cuando una persona inicia sesión en su cuenta de WhatsApp, un tercero puede intentar iniciar sesión utilizando el número de teléfono del primero en un dispositivo diferente, sin hacer preguntas. Durante este proceso de inicio de sesión, los atacantes claramente no tendrán acceso a la contraseña de un solo uso de seis dígitos que se enviará al dispositivo del usuario. En esta etapa, los usuarios pueden ser bombardeados repentinamente por las OTP de inicio de sesión de WhatsApp, aunque no lo hubieran solicitado ellos mismos. Esto es claramente una indicación de que algo anda mal, aunque lo desafortunado es que incluso para los usuarios conscientes del problema, no hay mucho que puedan hacer.
Posteriormente, los atacantes demostraron cómo después de una cierta cantidad de intentos, se les impidió obtener nuevos códigos de inicio de sesión durante 12 horas, citando preocupaciones de seguridad. En esta etapa, los atacantes enviaron un correo electrónico al Soporte de WhatsApp indicando que su cuenta ha sido pirateada o robada, solicitándoles que bloqueen el acceso a ella en todos los dispositivos. Esta es la parte sorprendente, porque incluso a instancias de un correo electrónico aleatorio de una cuenta que no está asociada con un número, el Soporte de WhatsApp sigue bloqueando el acceso a una cuenta, sin hacer preguntas. Incluso el usuario real, que todavía estaba conectado a su cuenta de WhatsApp como de costumbre, de repente se desconecta en este punto.
Por lo tanto, no hay forma de que un usuario recupere su cuenta, ya que también están limitados a las mismas restricciones que vería el atacante. Para empeorar las cosas, incluso después del período estipulado de 12 horas, los atacantes pueden repetir este proceso durante dos rondas más, y en la tercera ronda, WhatsApp parece bloquear el acceso a su cuenta, de forma permanente, ya que la cuenta no será recuperable después de un número estipulado de horas, y todos los datos se eliminarán permanentemente si no se toman medidas dentro de las 12 horas.
Carpintero y Perena, que descubrieron este truco de WhatsApp diseñado por ingeniería, afirman que el problema real es la falta de verificación en la etapa del correo electrónico y la elusión completa de la autenticación de dos factores en este proceso, algo que idealmente debería haber funcionado como una forma de el propietario real de la cuenta para eludir dicho intento de piratería y recuperar o retener el control de su propia cuenta de WhatsApp. En cambio, el problema aquí es que la pantalla 2FA de WhatsApp viene después de la pantalla OTP, lo que significa que una vez bloqueada la recepción de OTP, el paso 2FA se considera completamente inútil.
Como paso de seguridad, los investigadores afirmaron que WhatsApp podría considerar la vinculación de múltiples dispositivos y la autenticación en el dispositivo como un proceso, una vez que la función (que actualmente está en versión beta) se implemente como una compilación estable. También recomiendan que WhatsApp use 2FA como una especie de disyuntor en tal hack, y además afirman que el problema radica en la fácil visibilidad pública de las cuentas de WhatsApp. Un portavoz de WhatsApp le dijo a Forbes que tal conjunto de acciones por parte de un atacante violaría sus políticas de uso, y los usuarios deben proporcionar su propia dirección de correo electrónico junto con la configuración de 2FA, para agregar una capa de verificación y evitar tal hack.
Si bien el grado de esfuerzo requerido para tal pirateo, y el botín obtenido de él, significaría que esto solo se puede aplicar para aquellos que buscan apuntar específicamente a un individuo para su agenda personal y no como un ataque masivo, aún no detiene el ataque. de ser bastante severo en la naturaleza. Se insta a los usuarios, como siempre, a permanecer atentos y no compartir sus números de teléfono más allá de lo necesario, o revelar sus OTP en cualquier lugar.
Gracias por leer hasta el final de este artículo. Para obtener más contenido tecnológico informativo y exclusivo, como nuestra página de Facebook
