Esta vulnerabilidad de WhatsApp es bastante estúpida, pero puede bloquearte el acceso a tu cuenta indefinidamente

Los investigadores de seguridad han encontrado una nueva vulnerabilidad de WhatsApp que permite a los atacantes bloquearle fácilmente el acceso a su cuenta.

Los investigadores de seguridad han encontrado una nueva vulnerabilidad en WhatsApp que puede incitar a más usuarios a abandonar el servicio de mensajería propiedad de Facebook. Los actores maliciosos pueden explotar fácilmente esta vulnerabilidad para bloquearle el acceso a su cuenta de WhatsApp de forma indefinida, lo que la convierte en algo más que un inconveniente menor para los más de 2 mil millones de usuarios del mensajero. Pero esa no es la peor parte.

Según los investigadores Luis Márquez Carpintero y Ernesto Canales Pereña (a través de Forbes), los atacantes no necesitan ningún software ni formación especial para aprovechar esta vulnerabilidad. Sólo necesitan acceso a su número de teléfono. Una vez que lo tengan, pueden bloquearte el acceso a tu cuenta de WhatsApp sin mucho esfuerzo. Y así es como funciona.

WhatsApp requiere autenticación de dos factores cada vez que inicia sesión en un dispositivo nuevo. Para ello, el servicio envía un código de seis dígitos a su número de teléfono para su verificación. En caso de que ingreses el código incorrecto varias veces, WhatsApp suspende tu cuenta automáticamente durante 12 horas.

Proceso de verificación del número de teléfono (Imagen: Forbes)

Los atacantes pueden aprovechar este sistema de autenticación de dos factores instalando WhatsApp en un nuevo dispositivo, ingresando su número de teléfono e ingresando repetidamente el código incorrecto. Si bien esto le impedirá iniciar sesión en un nuevo dispositivo durante las próximas 12 horas, no afectará su instalación actual de WhatsApp. Seguirá funcionando según lo previsto.

Ingresar un código incorrecto conlleva una suspensión de 12 horas (Imagen: Forbes)

Para evitar que inicies sesión en un nuevo dispositivo de forma indefinida, un atacante sólo necesita repetir los pasos antes mencionados tres veces. En el tercer ciclo de 12 horas, el temporizador de suspensión de la aplicación se interrumpirá y comenzará a mostrar un temporizador de "-1 segundo". Una vez que aparece ese error, WhatsApp no ​​te permitirá iniciar sesión en un dispositivo nuevo. Sin embargo, su instalación actual seguirá funcionando. Pero el exploit no termina ahí, ya que se puede encadenar para aumentar drásticamente su impacto.

Error en la cuenta regresiva de verificación del número de teléfono que muestra -1 segundos (Imagen: Forbes)

El movimiento final del atacante también interrumpirá su instalación actual y quedará excluido de su cuenta de forma permanente. Para ello, todo lo que el atacante debe hacer es enviar un correo electrónico a WhatsApp solicitando al servicio que desactive su número de teléfono. WhatsApp podría enviar una respuesta automática pidiéndole al atacante que confirme el número y, una vez que lo confirme, WhatsApp desactivará automáticamente su cuenta sin su conocimiento.

Envíe un correo electrónico al soporte de WhatsApp para desactivar la cuenta (Imagen: Forbes)

Su instalación actual de WhatsApp dejará de funcionar repentinamente y verá la siguiente notificación: "Su número de teléfono ya no está registrado en WhatsApp en este teléfono. Esto podría deberse a que lo registró en otro teléfono. Si no hiciste esto, verifica tu número de teléfono para volver a iniciar sesión en tu cuenta". Ahora, cuando intentes verificar tu número de teléfono, verás el temporizador de suspensión de "-1 segundo" y no podrás iniciar sesión en absoluto.

La respuesta automática de WhatsApp al correo electrónico de desactivación (Imagen: Forbes)

Dado que este ataque no es sofisticado, cualquier persona con acceso a su número de teléfono puede fácilmente bloquear su cuenta de WhatsApp en cuestión de días. Por lo tanto, WhatsApp debe abordar este flagrante problema de inmediato.


El mensajero ya ha sido alertado del problema. En respuesta a la divulgación, un portavoz de WhatsApp dijo Forbes eso "Proporcionar una dirección de correo electrónico con su verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez encuentren este problema poco probable". El hecho de que WhatsApp considere que se trata de un problema "improbable" debería ser motivo suficiente para que muchos usuarios abandonen el servicio. Además de eso, el portavoz añadió que quienes intentaran explotarlo estarían violando los términos de servicio de WhatsApp. Como si eso fuera a ahuyentar a todos los piratas informáticos y evitar que los bromistas intenten el exploit con un usuario desprevenido.

Instamos a nuestros lectores a no explotar esta vulnerabilidad, no porque violar los términos de servicio de WhatsApp te lleve a la cárcel, sino porque es algo bastante desagradable. Además, si finalmente estás listo para cambiar a un servicio diferente, consulta nuestra guía detallada sobre alternativas a WhatsApp que resalta todos los pros y los contras de cambiar a otra plataforma.