WhatsApp: descubren su peor fallo en años y aún sigue activo
Dos estudiantes han intentado que WhatsApp arregle este problema, pero no les echan cuenta y no parchean la app.
Imagina que eres estudiante de ingeniería informática y, como parte de tu aprendizaje, estás investigando sobre aplicaciones. Imagina que te topas con un fallo grave no, gravísimo en WhatsApp. Un problema de vulnerabilidad tan grave que cualquiera con tu número de teléfono puede bloquearte la cuenta y robártela, sin más. Imagina que reportas eso inmediatamente a Facebook para que lo arreglen. E imagina que Facebook, tras 4 avisos, sigue sin echarte cuenta ni repararlo.
El grave fallo de seguridad de WhatsApp de 2021
Esto es, a grandes rasgos, lo que le ha sucedido a los dos estudiantes Luis Márquez Carpintero y Ernesto Canales Pereña, los cuales han intentado hasta en 4 ocasiones alertar a WhatsApp de que repare su error, sin que esta les haya prestado la atención. El siguiente paso ha sido el más lógico ante semejante gravedad -porque recordemos que más de 1/4 de la población mundial usar cada mes esta aplicación: hacer el fallo público para alertar a la prensa y así a ver si WhatsApp hacía algo esta vez.
Y así ha sido, con medios como la todopoderosa Forbes o webs de seguridad como ESET dando cuenta del fallo y comprobando de primera mano la gravedad del problema. Pero, ¿qué sucede exactamente con WhatsApp?
Robarte la cuenta usando tu número de teléfono
Cada semana vemos a WhatsApp ser usada para distribuir todo tipo de intentos de hackeo por Phishing, descarga de malware, etc, pero también vemos métodos que son capaces de hackear cuentas, como el que hace uso de los mensajes SMS que se envían con un código de 6 digitos para validar la instalación de WhatsApp en un nuevo móvil.
La aplicación cuenta con un sistema de verificación en 2 pasos que se supone actúa como la barrera de seguridad definitiva para sentirte seguro/a con tu cuenta. Pero según los estudiantes Carpintero y Pereña, ya no es así: La vulnerabilidad que han descubierto actúa en 2 fases, afectando a dos procesos distintos de la app -uno de ellos relacionado con la autenticación en dos pasos. Y al llevar a cabo las dos, el proceso termina con tu cuenta desactivada a manos del atacante, quien puede decidir si robártela, borrártela, etc.
Cómo te pueden desactivar la cuenta en WhatsApp
Así funciona el proceso:
Intro - El código SMS de verificación
Cuando instalas por primera vez WhatsApp en tu teléfono, o cambias de teléfono, la plataforma te enviará un código por SMS para verificar la cuenta. Una vez que introduzcas el código correcto, la app te pedirá tu número de autenticación en 2 pasos para asegurarse de que eres realmente tú, y entonces ya estás dentro. Esto es el punto de partida del proceso
Vulnerabilidad 1: Bloquear el envío de nuevos códigos
Cualquiera puede instalar WhatsApp en un móvil e introducir tu número de teléfono en la pantalla de verificación. Lo que sucede es que de repente, en tu móvil empiezas a recibir textos y llamadas de WhatsApp con el código de seis dígitos. También te aparece una notificación de la aplicación de WhatsApp, en la que se te indica que se ha solicitado un código, advirtiéndote que no lo compartas.
Un atacante puede hacer esto con tu número de teléfono de WhatsApp mientras tu sigues usando la aplicación con normalidad. Lo que el hacker va a hacer es seguir solicitando códigos repetidos y meter en su app números equivocados. Recibirás los códigos por SMS, quizás también las llamadas, pero no hay nada que puedas hacer con ellos, no hay ningún sitio donde introducir esos códigos. Y así, lo ignoras todo, que es algo que el hacker busca también.
El problema es que el proceso de verificación de WhatsApp limita el número de códigos que se pueden enviar. Después de unos cuantos intentos, el WhatsApp del atacante dirá: "Vuelve a enviar un SMS/llámame en 12 horas", y así no se pueden generar nuevos códigos. WhatsApp también bloquea las entradas de códigos en la app después de un número de intentos, diciendo al atacante "has adivinado demasiadas veces... inténtalo de nuevo en 12 horas".
Y así, mientras WhatsApp te sigue funcionando con normalidad en tu móvil, el atacante ha bloqueado el envío de nuevos códigos o su introducción en la pantalla de verificación. Todo depende ahora de ese temporizador de 12 horas, que está en cuenta atrás.
Mientras el cibercriminal hace todo esto, tu no echas cuenta y no sabes que él ha bloqueado por 12 horas la forma en que tu podrías recuperar tu cuenta si tuvieras algún problema. Ya ha preparado el escenario, y ahora va a por la segunda fase del plan.
Vulnerabilidad 2: WhatsApp te deja de funcionar
El atacante ahora registra una nueva dirección de correo electrónico, y envía un email a support@whatsapp.com, el soporte oficial de la app, con el texto “Cuenta perdida/robada, por favor desactiven mi número”, incluyendo tu número de teléfono. La propia WhatsApp puede enviar un correo electrónico de respuesta automática pidiendo el número de nuevo, algo que el atacante hace.
El sistema de la app no tiene forma de saber si eres tú o no quien ha solicitado esto, sólo que el número que consta es el tuyo. No hay preguntas de seguimiento para confirmar la propiedad del número. Pero se ha puesto en marcha un proceso automatizado, sin tu conocimiento, y tu cuenta será desactivada.
Una hora más tarde, de repente, WhatsApp deja de funcionar en tu teléfono y ves una notificación alarmante:
“Tu número de teléfono ya no está registrado en WhatsApp en este teléfono. Esto puede deberse a que lo has registrado en otro teléfono. Si no lo hiciste, verifica tu número de teléfono para volver a entrar en tu cuenta".
Esta desactivación parece estar automatizada, utilizando palabras clave para desencadenar acciones. Esto sucede incluso si tienes activada la verificación en 2 pasos en tu cuenta de WhatsApp. Pero, aun así, esto no debería ser un problema. Sólo tienes que solicitar un código y volver a registrar tu cuenta. Lo haces, introduces y confirmas tu número. Pero no llega ningún mensaje. "Has intentado registrar [tu número] recientemente. Espera antes de solicitar un SMS o una llamada", te dice la app.
¿A qué viene esto? Al proceso de espera de 12 horas que el hacker activó anteriormente en su móvil usando tu número de teléfono, bloqueando a posta tu opción de solicitar este código. Llegados a este punto buscas e intentas usar el SMS más reciente de los que te llegaron sin pedirlo, e introduces el código en WhatsApp. Pero ni siquiera esto funciona. "Has adivinado demasiadas veces", te dice tu WhatsApp, y tu móvil sigue sujeto a las mismas restricciones que el del atacante.
24 horas sin poder usar WhatsApp
Si el ataque quisiera detenerse aquí, tú podrías solicitar un nuevo SMS y verificar tu cuenta utilizando un nuevo código de seis dígitos una vez que el temporizador de 12 horas haya expirado. Pero no lo va a hacer, ni tampoco necesita enviar un mensaje a WhatsApp durante esa primera cuenta atrás de 12 horas, sino que puede esperar y luego repetir el proceso. Recibirás muchos más mensajes de texto, pero todavía no puedes hacer nada con ellos.
A sentarse a esperar: El hacker puede forzar hasta un tercer ciclo de 12 horas de espera -en este punto llevas más de 1 día sin haber podido usar WhatsApp en el móvil. El problema con este tercer ciclo es que, según los investigadores, WhatsApp parece romperse. "Has adivinado demasiadas veces", dirá la app, "inténtalo de nuevo después de -1 segundos". Ahora no hay forma de que el atacante solicite o introduzca nuevos códigos, no hay cuenta atrás, en lugar de decir "12 horas" dice "-1 segundos".
Incluso si el atacante desactiva tu teléfono durante el primer ciclo, puede empujarte a una segunda cuenta atrás de 12 horas si solicita e introduce códigos al expirar la primera cuenta atrás antes de que tengas oportunidad. Recuerda que ellos ven el mismo temporizador que tú. A partir de aquí no puedes hacer nada, sólo contactar con WhatsApp y explicarles qué te está sucediendo.
Un ataque simple, nada sofisticado
Una cosa está clara con este sistema: No hay ninguna sofisticación en este ataque: ése es el verdadero problema aquí, que la combinación de esta arquitectura de verificación, los SMS/códigos y las acciones automatizadas basadas en palabras clave activadas por los correos electrónicos entrantes se presta a abusos como los descubiertos por estos dos investigadores. Lo grave es que incluso tenemos una verificación en 2 pasos activada, pero no sirve para nada al parecer.
Una forma de arreglar esto según Forbes es que “WhatsApp podría asegurarse de que una aplicación en un dispositivo con 2FA registrado puede evitar este problema, utilizando 2FA como un interruptor. Más sencillo aún, cuando aparezca el acceso multidispositivo, WhatsApp podría utilizar el concepto de dispositivo de confianza para permitir que una app verificada verifique a otra. Este es un sistema mucho mejor y acabaría con esta vulnerabilidad”.
“Si haces esto, es ilegal”
Lo más extraño de todo esto es que WhatsApp -y por ende Facebook- no parece creer que es demasiado grave la cosa. Incluso tras 4 avisos por parte de sus descubridores, WhatsApp no tiene intención de arreglarlo, de hecho parece quitarle hierro. Como un portavoz confirmó a Forbes: “Proporcionar una dirección de correo electrónico con la verificación en dos pasos ayuda a nuestro equipo de atención al cliente a ayudar a las personas si alguna vez se encuentran con este problema improbable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y animamos a cualquiera que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.
En resumen: Que cualquiera que use este método está violando claramente las reglas de la aplicación, y por tanto el usuario puede contactar con WhatsApp para que investiguen su caso. ¿El problema? Pues que mientras investigan y no, tú como usuario no puedes usar tu WhatsApp, sólo porque alguien está abusando de los mecanismos de la aplicación.
Forbes y otros expertos y foros concluyen que esto es “una brecha de seguridad” en toda regla, y como tal debe ser arreglada. Estaremos atentos a ver qué sucede en los próximos días. Y también a si las estadísticas de Telegram vuelven a subir estos días en cuanto a ritmo de nuevos usuarios…¿Se avecina otra fuga de usuarios de WhatsApp?