WhatsApp: descubren su peor fallo en a?os y a��n sigue activo

Dos estudiantes han intentado que WhatsApp arregle este problema, pero no les echan cuenta y no parchean la app.

Actualizado a 12 de abril de 2021 12:48 CEST

Imagina que eres estudiante de ingenier��a inform��tica y, como parte de tu aprendizaje, est��s investigando sobre aplicaciones. Imagina que te topas con un fallo grave no, grav��simo en WhatsApp. Un problema de vulnerabilidad tan grave que cualquiera con tu n��mero de tel��fono puede bloquearte la cuenta y rob��rtela, sin m��s. Imagina que reportas eso inmediatamente a Facebook para que lo arreglen. E imagina que Facebook, tras 4 avisos, sigue sin echarte cuenta ni repararlo.

El grave fallo de seguridad de WhatsApp de 2021

Esto es, a grandes rasgos, lo que le ha sucedido a los dos estudiantes Luis M��rquez Carpintero y Ernesto Canales Pere?a, los cuales han intentado hasta en 4 ocasiones alertar a WhatsApp de que repare su error, sin que esta les haya prestado la atenci��n. El siguiente paso ha sido el m��s l��gico ante semejante gravedad -porque recordemos que m��s de 1/4 de la poblaci��n mundial usar cada mes esta aplicaci��n: hacer el fallo p��blico para alertar a la prensa y as�� a ver si WhatsApp hac��a algo esta vez.

Y as�� ha sido, con medios como la todopoderosa Forbes o webs de seguridad como ESET dando cuenta del fallo y comprobando de primera mano la gravedad del problema. Pero, ?qu�� sucede exactamente con WhatsApp?

Robarte la cuenta usando tu n��mero de tel��fono

Cada semana vemos a WhatsApp ser usada para distribuir todo tipo de intentos de hackeo por Phishing, descarga de malware, etc, pero tambi��n vemos m��todos que son capaces de hackear cuentas, como el que hace uso de los mensajes SMS que se env��an con un c��digo de 6 digitos para validar la instalaci��n de WhatsApp en un nuevo m��vil.

La aplicaci��n cuenta con un sistema de verificaci��n en 2 pasos que se supone act��a como la barrera de seguridad definitiva para sentirte seguro/a con tu cuenta. Pero seg��n los estudiantes Carpintero y Pere?a, ya no es as��: La vulnerabilidad que han descubierto act��a en 2 fases, afectando a dos procesos distintos de la app -uno de ellos relacionado con la autenticaci��n en dos pasos. Y al llevar a cabo las dos, el proceso termina con tu cuenta desactivada a manos del atacante, quien puede decidir si rob��rtela, borr��rtela, etc.

C��mo te pueden desactivar la cuenta en WhatsApp

As�� funciona el proceso:

Intro - El c��digo SMS de verificaci��n

Cuando instalas por primera vez WhatsApp en tu tel��fono, o cambias de tel��fono, la plataforma te enviar�� un c��digo por SMS para verificar la cuenta. Una vez que introduzcas el c��digo correcto, la app te pedir�� tu n��mero de autenticaci��n en 2 pasos para asegurarse de que eres realmente t��, y entonces ya est��s dentro. Esto es el punto de partida del proceso

Vulnerabilidad 1: Bloquear el env��o de nuevos c��digos

Cualquiera puede instalar WhatsApp en un m��vil e introducir tu n��mero de tel��fono en la pantalla de verificaci��n. Lo que sucede es que de repente, en tu m��vil empiezas a recibir textos y llamadas de WhatsApp con el c��digo de seis d��gitos. Tambi��n te aparece una notificaci��n de la aplicaci��n de WhatsApp, en la que se te indica que se ha solicitado un c��digo, advirti��ndote que no lo compartas.

Un atacante puede hacer esto con tu n��mero de tel��fono de WhatsApp mientras tu sigues usando la aplicaci��n con normalidad. Lo que el hacker va a hacer es seguir solicitando c��digos repetidos y meter en su app n��meros equivocados. Recibir��s los c��digos por SMS, quiz��s tambi��n las llamadas, pero no hay nada que puedas hacer con ellos, no hay ning��n sitio donde introducir esos c��digos. Y as��, lo ignoras todo, que es algo que el hacker busca tambi��n.

El problema es que el proceso de verificaci��n de WhatsApp limita el n��mero de c��digos que se pueden enviar. Despu��s de unos cuantos intentos, el WhatsApp del atacante dir��: "Vuelve a enviar un SMS/ll��mame en 12 horas", y as�� no se pueden generar nuevos c��digos. WhatsApp tambi��n bloquea las entradas de c��digos en la app despu��s de un n��mero de intentos, diciendo al atacante "has adivinado demasiadas veces... int��ntalo de nuevo en 12 horas".

Y as��, mientras WhatsApp te sigue funcionando con normalidad en tu m��vil, el atacante ha bloqueado el env��o de nuevos c��digos o su introducci��n en la pantalla de verificaci��n. Todo depende ahora de ese temporizador de 12 horas, que est�� en cuenta atr��s.

Mientras el cibercriminal hace todo esto, tu no echas cuenta y no sabes que ��l ha bloqueado por 12 horas la forma en que tu podr��as recuperar tu cuenta si tuvieras alg��n problema. Ya ha preparado el escenario, y ahora va a por la segunda fase del plan.

Vulnerabilidad 2: WhatsApp te deja de funcionar

El atacante ahora registra una nueva direcci��n de correo electr��nico, y env��a un email a support@whatsapp.com, el soporte oficial de la app, con el texto ��Cuenta perdida/robada, por favor desactiven mi n��mero��, incluyendo tu n��mero de tel��fono. La propia WhatsApp puede enviar un correo electr��nico de respuesta autom��tica pidiendo el n��mero de nuevo, algo que el atacante hace.

El sistema de la app no tiene forma de saber si eres t�� o no quien ha solicitado esto, s��lo que el n��mero que consta es el tuyo. No hay preguntas de seguimiento para confirmar la propiedad del n��mero. Pero se ha puesto en marcha un proceso automatizado, sin tu conocimiento, y tu cuenta ser�� desactivada.

Una hora m��s tarde, de repente, WhatsApp deja de funcionar en tu tel��fono y ves una notificaci��n alarmante:

��Tu n��mero de tel��fono ya no est�� registrado en WhatsApp en este tel��fono. Esto puede deberse a que lo has registrado en otro tel��fono. Si no lo hiciste, verifica tu n��mero de tel��fono para volver a entrar en tu cuenta".

Esta desactivaci��n parece estar automatizada, utilizando palabras clave para desencadenar acciones. Esto sucede incluso si tienes activada la verificaci��n en 2 pasos en tu cuenta de WhatsApp. Pero, aun as��, esto no deber��a ser un problema. S��lo tienes que solicitar un c��digo y volver a registrar tu cuenta. Lo haces, introduces y confirmas tu n��mero. Pero no llega ning��n mensaje. "Has intentado registrar [tu n��mero] recientemente. Espera antes de solicitar un SMS o una llamada", te dice la app.

?A qu�� viene esto? Al proceso de espera de 12 horas que el hacker activ�� anteriormente en su m��vil usando tu n��mero de tel��fono, bloqueando a posta tu opci��n de solicitar este c��digo. Llegados a este punto buscas e intentas usar el SMS m��s reciente de los que te llegaron sin pedirlo, e introduces el c��digo en WhatsApp. Pero ni siquiera esto funciona. "Has adivinado demasiadas veces", te dice tu WhatsApp, y tu m��vil sigue sujeto a las mismas restricciones que el del atacante.

24 horas sin poder usar WhatsApp

Si el ataque quisiera detenerse aqu��, t�� podr��as solicitar un nuevo SMS y verificar tu cuenta utilizando un nuevo c��digo de seis d��gitos una vez que el temporizador de 12 horas haya expirado. Pero no lo va a hacer, ni tampoco necesita enviar un mensaje a WhatsApp durante esa primera cuenta atr��s de 12 horas, sino que puede esperar y luego repetir el proceso. Recibir��s muchos m��s mensajes de texto, pero todav��a no puedes hacer nada con ellos.

A sentarse a esperar: El hacker puede forzar hasta un tercer ciclo de 12 horas de espera -en este punto llevas m��s de 1 d��a sin haber podido usar WhatsApp en el m��vil. El problema con este tercer ciclo es que, seg��n los investigadores, WhatsApp parece romperse. "Has adivinado demasiadas veces", dir�� la app, "int��ntalo de nuevo despu��s de -1 segundos". Ahora no hay forma de que el atacante solicite o introduzca nuevos c��digos, no hay cuenta atr��s, en lugar de decir "12 horas" dice "-1 segundos".

Incluso si el atacante desactiva tu tel��fono durante el primer ciclo, puede empujarte a una segunda cuenta atr��s de 12 horas si solicita e introduce c��digos al expirar la primera cuenta atr��s antes de que tengas oportunidad. Recuerda que ellos ven el mismo temporizador que t��. A partir de aqu�� no puedes hacer nada, s��lo contactar con WhatsApp y explicarles qu�� te est�� sucediendo.

Un ataque simple, nada sofisticado

Una cosa est�� clara con este sistema: No hay ninguna sofisticaci��n en este ataque: ��se es el verdadero problema aqu��, que la combinaci��n de esta arquitectura de verificaci��n, los SMS/c��digos y las acciones automatizadas basadas en palabras clave activadas por los correos electr��nicos entrantes se presta a abusos como los descubiertos por estos dos investigadores. Lo grave es que incluso tenemos una verificaci��n en 2 pasos activada, pero no sirve para nada al parecer.

Una forma de arreglar esto seg��n Forbes es que ��WhatsApp podr��a asegurarse de que una aplicaci��n en un dispositivo con 2FA registrado puede evitar este problema, utilizando 2FA como un interruptor. M��s sencillo a��n, cuando aparezca el acceso multidispositivo, WhatsApp podr��a utilizar el concepto de dispositivo de confianza para permitir que una app verificada verifique a otra. Este es un sistema mucho mejor y acabar��a con esta vulnerabilidad��.

��Si haces esto, es ilegal��

Lo m��s extra?o de todo esto es que WhatsApp -y por ende Facebook- no parece creer que es demasiado grave la cosa. Incluso tras 4 avisos por parte de sus descubridores, WhatsApp no tiene intenci��n de arreglarlo, de hecho parece quitarle hierro. Como un portavoz confirm�� a Forbes: ��Proporcionar una direcci��n de correo electr��nico con la verificaci��n en dos pasos ayuda a nuestro equipo de atenci��n al cliente a ayudar a las personas si alguna vez se encuentran con este problema improbable. Las circunstancias identificadas por este investigador violar��an nuestros t��rminos de servicio y animamos a cualquiera que necesite ayuda a enviar un correo electr��nico a nuestro equipo de soporte para que podamos investigar��.

En resumen: Que cualquiera que use este m��todo est�� violando claramente las reglas de la aplicaci��n, y por tanto el usuario puede contactar con WhatsApp para que investiguen su caso. ?El problema? Pues que mientras investigan y no, t�� como usuario no puedes usar tu WhatsApp, s��lo porque alguien est�� abusando de los mecanismos de la aplicaci��n.

Forbes y otros expertos y foros concluyen que esto es ��una brecha de seguridad�� en toda regla, y como tal debe ser arreglada. Estaremos atentos a ver qu�� sucede en los pr��ximos d��as. Y tambi��n a si las estad��sticas de Telegram vuelven a subir estos d��as en cuanto a ritmo de nuevos usuarios��?Se avecina otra fuga de usuarios de WhatsApp?