A Facebook no paran de crecerles los problemas. En esta ocasión se trata de un agujero de seguridad encontrado durante el pasado fin de semana en el popular servicio de mensajería WhatsApp. Dos estudiantes e investigadores españoles, Luis Márquez Carpintero y Ernesto Canales Pereña, han detectado un problema, que además se encuentra presente desde hace años en el servicio, por el que cualquier actor malicioso podría suspender la cuenta a cualquier usuario simplemente conociendo su número de teléfono.
De nada sirve que el usuario afectado pueda tener o no la autenticación de dos factores, ya que el problema persiste en ambos casos, por lo que de buenas a primeras podría encontrarse con la imposibilidad de entrar a su cuenta de WhatsApp.
De momento no llega la esperada solución de parte de WhatsApp
Este descubrimiento ha sido publicado inicialmente en la publicación Forbes. El procedimiento consiste en que, una vez que el actor malicioso haya intentado acceder a la cuenta de la persona afectada sin éxito alguno, llegando al límite de los intentos permitidos, se boquea los nuevos intentos durante doce horas, siendo aprovechado por el actor malicioso para ponerse en contacto con el soporte técnico de WhatsApp con una dirección de correo electrónico cualquiera, instando a la desactivación de la cuenta asociada al número de teléfono (de la víctima) por robo o pérdida.
Es aquí donde entra el soporte técnico de WhatsApp, que verifica que le ha llegado una petición desde una dirección de correo electrónico activa, sin importar si se ha usado o no un servicio de direcciones de correos electrónicos desechables, ni verificar la relación de la dirección del correo electrónico de la petición con el número de teléfono de la cuenta aludida, suspendiendo temporalmente la cuenta del usuario afectado.
La víctima, al intentar entrar en su cuenta de WhatsApp, se encontrará con un mensaje de alerta advertiéndole de que «Su número de teléfono ya no está registrado en WhatsApp en este teléfono».
Lo peor, acorde al descubrimiento de Luis Márquez Carpintero y Ernesto Canales Pereña, es que el actor malicioso también puede repetir la misma operación, llevando a que la cuenta del usuario pueda verse afectada de forma casi permanente.
De momento, WhatApp no pone remedio a la situación, pese a que se puede realizar de forma anónima desde cualquier dispositivo móvil por cualquiera, eludiendo asumir sus responsabilidades como servicio, pese a que esta situación violan sus términos y condiciones, quedando en manos del soporte técnico evitar la explotación de este tipo de ataques.