z.system

Es una falla que se genera por dos procesos independientes. Mirá cómo evitarla.

Los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña alertaron en las últimas horas sobre un fallo en WhatsApp que le permieten a hackers bloquear cuentas para siempre. Lo único que necesitan para llevarlo a cabo es el número de teléfono del usuario.

Se trata de un grave problema, ya que afecta inclusive a aquellos usuarios que tienen activado el proceso de doble autenticación. Los ciberdelincuentes utilizan dos procesos independientes de la aplicación de Facebook para bloquear las cuentas.

Todo comienza cuando los ciberdelincuentes introducen de manera repetida un código de verificación de seis dígitos erróneo para entrar a una cuenta. Esto genera que finalmente WhatsApp les ofrezca bloquear esa función y enviar un nuevo código dentro de 12 horas.

Es muy probable que el usuario de WhatsApp no le dé mayor importancia y considere que simplemente se trata de un error de sistema. Esto se debe a que la aplicación continuará funcionando en su dispositivo sin presentar inconvenientes.

Luego de forzar que WhatsApp envíe el nuevo código a las 12 horas comienza la segunda vulnerabilidad que posibilita el bloqueo de la cuenta. Los hackers le envían un correo electrónico al soporte de la aplicación para informar que el celular asociado a ese número de teléfono fue robado y piden que se desactive la cuenta.

El ataque tarda 12 horas en surtir efecto. Tras ese periodo, la cuenta de WhatsApp es bloquedada.

El ataque tarda 12 horas en surtir efecto. Tras ese periodo, la cuenta de WhatsApp es bloquedada.

WhatsApp accede al pedido y la desactiva. En este momento, el usuario recibirá un mensaje que le informa que su número de teléfono ya no está asociado a la cuenta y que debe esperar 12 horas para habilitar un nuevo código.

Pasado ese tiempo, en lugar de enviar el código de 6 dígitos vía SMS, WhatsApp le advierte que el usuario tiene “-1 segundos” para generar uno nuevo. El error bloquea de forma permanente la cuenta.

Las víctimas de este ataque solo pueden comunicarse con el soporte de WhatsApp vía correo electrónico para recuperar su cuenta.

 

Fuente: Ambito