Grave fallo sin parchear de WhatsApp: pueden borrarte la cuenta

WhatsApp es conocida por sufrir constantes vulnerabilidades en su aplicación, donde no hay un año en el que no sufran una de alta gravedad. Después de un 2019 y un 2020 desastroso en cuanto a fallos de seguridad, ahora WhatsApp acaba de estrenar su primer gran fallo de 2021, que permite a cualquier persona borrarte la cuenta, y que además la compañía no cree que sea necesario parchear.

El fallo ha sido descubierto por dos estudiantes de ingeniería informática, Luis Márquez Carpintero y Ernesto Canales Pereña. Los jóvenes intentaron reportar el fallo a WhatsApp hasta un total de cuatro veces, pero la aplicación hizo caso omiso a todas ellas. Por ello, decidieron hacerlo público.

Cuando instalas WhatsApp en un móvil por primera vez, o cambias de móvil, la compañía te envía un SMS de verificación para acceder a la cuenta asociada a tu número de teléfono. Con este proceso, cualquier persona puede instalar WhatsApp en su móvil, poner tu número de teléfono, y hacer que recibas un SMS o una llamada con el código de seis dígitos para acceder a la app, junto con un mensaje que te dice que no lo compartas. Mientras el atacante intenta acceder, te irán llegando varios SMS que no hay más que ignorar. Recordamos que es importantísimo no darle nunca a nadie ese código de 6 dígitos, lo cual es una estafa muy común en los últimos años.

Un email a WhatsApp puede desactivar tu cuenta

Para evitar que un atacante pueda probar todos los números posibles, la app bloquea el proceso de verificación y te dice que esperes 12 horas tras varios intentos. En ese proceso, el atacante puede registrar un email nuevo, y enviarle un correo a support@whatsapp.com, pidiéndoles que desactiven la cuenta asociada al número de teléfono que ha intentado hackear mediante palabras clave que hacen que se active un sistema automatizado.

WhatsApp puede que envíe un email automáticamente para confirmar de nuevo el número. A partir de ahí, se inicia un proceso automático en el que WhatsApp va a proceder a desactivar tu cuenta sin verificar en ningún momento si se trata del dueño real del número de teléfono o no. El ataque ni siquiera se puede prevenir usando verificación en dos pasos, y si no se registra de nuevo la cuenta, ésta se pierde para siempre tras 30 días.

Así, en torno a una hora después, WhatsApp deja de funcionar en tu móvil y ves una notificación que dice «Tu número de teléfono ya no está registrado con WhatsApp en este teléfono. Esto puede ser porque lo has registrado en otro teléfono. Si no has hecho esto, verifica tu teléfono para acceder de nuevo a tu cuenta».

Esto, a simple vista, no es preocupante, ya que puedes proceder configurar tu cuenta asociada a tu número como cuando instalas la app desde cero. Sin embargo, ahora no te llega ningún SMS porque el atacante ha intentado registrarse con tu número y tienes que esperar unas 11 horas. Introducir el último código recibido no sirve tampoco de nada, ya que la app te vuelve a decir que lo has introducido demasiadas veces.

La cuenta atrás se vuelve infinita en el tercer intento

De esta forma, el atacante ahora sólo tiene que esperar unas 11 horas para reintentar acceder con tu móvil para generar nuevos códigos y extender nuevamente a 12 horas el tiempo de espera. Sin embargo, esto ni siquiera hace falta, ya que, tras el tercer intento, en lugar de aparecer 12 horas, aparece una cuenta atrás que dice que quedan -1 segundos.

Si el atacante le envía el email a la compañía ahora para solicitar la suspensión de la cuenta de WhatsApp, entonces ya no hay ninguna forma de recuperarla, ya que la cuenta atrás está bloqueada y no hay forma de arreglarla. La única opción es contactar con el servicio de WhatsApp y rezar para que lo arreglen. Si no haces nada, tu cuenta desaparecerá.

Este ataque es muy fácil de llevar a cabo por cualquier persona, y debería ser arreglado cuanto antes por WhatsApp. Si a esto le sumamos la filtración de datos de Facebook, ahora cualquier persona puede conocer tu número de teléfono y bloquearte la cuenta de WhatsApp. Desde WhatsApp se han limitado a decir que hacer esto va en contra de sus términos y condiciones de uso. Como si eso les importase a los hackers. De esta forma, si queréis probar el fallo con un nuevo número virtual para WhatsApp, estaréis incumpliendo las condiciones de la app.

Una forma fácil de solucionar este fallo es implementar un sistema similar al de Telegram, que envía los códigos de verificación a través de la propia app en lugar de por SMS. A su vez, deberían eliminar de inmediato la posibilidad de desactivar cuentas por email sin verificar identidades. De cara a los usuarios, lo mejor es usar otras apps como Telegram o Signal. Esta última la usa hasta el propio Mark Zuckerberg, según ha podido saberse en la filtración de Facebook donde se ha filtrado su propio número de teléfono.