Luis Márquez Carpintero y Ernesto Canales Pereña fueron los estudiantes que advirtieron a WhatsApp sobre un terrible fallo en su software, el cual permite hackaer cuentas hasta bloquearlas, con sólo tener el número de teléfono celular.

"Cada mes, vemos advertencias sobre diversos tipos de estafas, en las que se engaña a los usuarios para que entreguen el código de seis dígitos que se envía por SMS para activar una nueva instalación de WhatsApp", presisaron los alumnos de seguridad informática, según la revista Forbes.

En ese sentido, agregaron que una vez que una cuenta fue secuestrada, "su restauración puede llevar mucho tiempo y ser dolorosa". "Incluso hemos visto historias sobre cuentas secuestradas que han provocado el bloqueo de otras cuentas", alertaron.

¿Cómo hackean la cueenta de WhatsApp?

 

El problema con WhatsApp radica en el momento en que una persona instala la aplicación por primera vez en su teléfono o cambia de celular.

En el proceso, la plataforma enviará un código SMS para verificar la cuenta. Una vez que se ingrese el código correcto, la aplicación pedirá el número de celular para asegurarse de que realmente es el dueño de la cuenta.

Aquí es cuendo los expertos demostraron la primera debilidad de WhatsApp: cualquiera puede instalar WhatsApp en un teléfono e ingresar su número en la pantalla de verificación. Cualquiera puede entonces recibir textos y llamadas de WhatsApp con el código de seis dígitos y también se verá una notificación de la aplicación, que indicará que se solicitó un código.

Pregunta de verificación de código de WhatsApp.

Por lo tanto, un hacker puede estar haciendo esto con su número de teléfono de WhatsApp mientras continúa usando su aplicación con normalidad. Se solicitan los códigos repetidos y entrar en suposiciones incorrectas en su aplicación. El dueño del número de celular recibirá los códigos de SMS, quizás también lo llamen. Pero uno simpre los ignora. Error.

El problema es que el proceso de verificación de WhatsApp limita la cantidad de códigos que se pueden enviar. Después de algunos intentos, la app del atacante dirá: "Reenviar SMS / Llámame en 12 horas", por lo que no se pueden generar nuevos códigos.  WhatsApp también bloquea las entradas de código en la aplicación después de varios intentos, diciéndole al atacante "lo has adivinado demasiadas veces ... inténtalo de nuevo en 12 horas".

Bloqueo de la cuenta de WhatsApp por 12 horas.

Y así, mientras WhatsApp en su teléfono continúa funcionando normalmente, el atacante bloqueó todos los código nuevos para que no se envíe o ingrese en una pantalla de verificación. 

Sin embargo, el fallo dos radica en que ahora el hacker registrará una nueva dirección de correo electrónico y le enviará un correa support@whatsapp.com (centro de ayuda de WhatsApp con el mensaje "Cuenta perdida / robada, desactive mi número". El atacante incluye su número.

El pedido del hacker para que bloqueen la cuenta.

Una vez que el hacker confirma la desacticación de la cuenta, listo, no hay vuelta atrás para volver a registrar un perfil con ese número de celular, a menos que se intente comunicar con el servicio técnico y se explique toda la situación.

En eses sentido, los expertos criticaron que WhatsApp no tiene forma de saber si el que hace la petición de desactivar la cuenta relamente es el dueño de esa cuenta. Tampoco hace preguntas de seguimiento para confirmar que alguien es el propietario de ese número.