Existe una forma en que un atacante puede aprovecharse de herramientas de seguridad de la aplicación de mensajería para perjudicar a un usuario.
Expertos de seguridad hallaron una forma de bloquear el WhatsApp de cualquier usuario con solo conocer su número de teléfono, sin que se abra un archivo infectado, se instale una aplicación ni convencerlo para que se brinde un código: apela a la verificación y al sistema para recuperar una cuenta. Esta artimaña no le da al atacante tomar el control de una cuenta, pero puede evitar que la víctima pueda usar WhatsApp.
Usar los códigos de verificación de WhatsApp
Lo primero que necesita hacer el atacante es usar el número de WhatsApp de la víctima para registrarse en un celular. No podrá completar el registro porque el código de verificación llegará vía SMS al teléfono del otro, pero introducirá dicho código mal varias veces, aprovechando que la aplicación incrementa progresivamente el lapso que el dueño del aparato debe esperar para pedir otro nuevo código.
WhatsApp incluye ciertas medidas de seguridad en la verificación de cuentas para que el usuario se encuentre al tanto de lo que ocurre. Por ejemplo, cuando un tercero trata de registrar tu cuenta de WhatsApp en su celular, te llega una notificación en la propia app.
Además, en el SMS que te llega se advierte que «no compartas este código con nadie». A diferencia de alertas similares en Facebook o Google, donde se puede indicar «No he sido yo», acá lo único que se puede hacer es presionar en OK y continuar utilizando WhatsApp como hasta ahora.
Pero por cada código de verificación puesto de manera errónea, el atacante consigue incrementar el tiempo de espera para solicitar uno nuevo, llegando a una demora de 12 horas. Pero si el agresor tiene suficiente paciencia como para aguardar tres ciclos de medio día para volver a pedir e ingresar el código incorrecto, el sistema parece bloquearse indicando que la espera es de -1 segundos. En la práctica, no se envían ya más mensajes de verificación.
Durante dicho proceso, el WhatsApp del usuario que está siendo atacado puede seguir funcionando como siempre, salvo para recibir mensajes SMS con códigos de verificación y que la aplicación mostrará el aviso de que alguien intenta registrar la cuenta. Ahí empieza la segunda parte del ataque.
Aprovecharse del soporte de seguridad de WhatsApp
Entonces el atacante debe escribir al soporte de WhatsApp para notificar de que la cuenta que corresponde al número de celular de la víctima fue robado o se perdió y desea desactivar la cuenta. Sin pedir chequeos extra para determinar que el atacante es el remitente del mensaje, se la cuenta.
Habitualmente, si una cuenta de WhatsApp se desactiva, volver a ponerla en funcionamiento es tan fácil como volver a verificar el número de teléfono, pero el atacante antes puede haber bloqueado el envío de códigos de verificación. Llegado a esta instancia, la víctima tiene su cuenta desactivada y ningún modo de verificación para volver a usarla.
En la delgada línea que separa el bug de la feature, este problema supone abusar los mismos sistemas de seguridad que deberían proteger nuestras cuentas, y no debería ser difícil para la aplicación de parchear el problema con un sistema para identificar intentos fraudulentos de registro, como otras aplicaciones.