WhatsApp es una de las aplicaciones de mensajería más usadas en la actualidad, razón por la cual muchos hackers centran sus ataques en esta plataforma gracias a las posibilidades que ofrece de acceder a los datos personales de una gran cantidad de personas.
Lo último descubierto recientemente revela como los atacantes dentro de esta aplicación ejecutan una estrategia en la cual secuestran la cuenta de WhatsApp de una persona para luego tener acceso a los mensajes personales, así como su lista de contactos.
Al ahondar en los detalles técnicos, el éxito de este ataque radica en el uso de un servicio automatizado de los operadores de telefonía móvil, el cual permite desviar las llamadas de un numero de teléfono diferente, valiéndose para ello de una opción presente en WhatsApp que activa el envío de un código de verificación de contraseña de un solo uso (OTP) mediante una llamada de voz.
Lo único que se necesita para poner en marcha el ataque es el número de teléfono de la víctima elegida. Una vez que la estrategia del atacante entra en acción es cuestión de minutos para que esta se apodere de la cuenta de WhatsApp objetivo.
Para ello, el atacante realiza una llamada a la víctima solicitando a esta efectuar una llamada a un número cuyo código (**67* o 405) corresponde a una interfaz hombre-maquina (MMI) la cual haya sido establecida por la operadora de telefonía móvil y asignada al desvío de llamadas.
Una vez que la víctima accede a esto, el atacante pone en marcha el proceso de registro del WhatsApp de la víctima en su dispositivo, para lo cual activa la opción de recibir la OTP mediante una llamada de voz.
Tras haber obtenido el código OTP el próximo paso dado por el atacante es registrar la cuenta de WhatsApp de la víctima y por último activar la autenticación de dos pasos (2FA) de manera que la persona dueña de la cuenta no pueda tener la posibilidad de acceder a esta.
Sin embargo, dentro de este proceso existen algunos factores que pueden incidir en el éxito o fracaso de este método. El primero de ellos es el uso estricto de un código MMI que haga posible el reenvío de todas las llamadas.
Esto significa que si el MMI solo efectúa el reenvío de las llamadas cuando la línea está ocupada, en caso de haber una llamada en espera el procedimiento será anulado.
Así también, al momento del ataque, mensajes son enviados al WhatsApp de la víctima notificando que su cuenta está siendo registrada en otro dispositivo.