Los más de 2.000 millones de usuarios de WhatsApp se pueden llevar una mala sorpresa en cualquier momento. Dos investigadores españoles en ciberseguridad han descubierto la manera por la que los ciberdelincuentes se pueden colar a tu cuenta de WhatsApp y dejarte la aplicación bloqueada e inoperativa, en el mejor de los casos, durante 12 horas. Si la usas para comunicarte con tu familia, con tus padres mayores o tus hijos post-adolescentes, no poder utilizar WhatsApp durante ese tiempo puede ser un gran fastidio. Así es el modus operandi que utilizan.
Tu número de teléfono móvil. Sí. Nada más que eso. Ni siquiera tienen que acceder al dispositivo, ni hackearlo. Solo con saber el número ya pueden bloquearte la cuenta. Esto es lo que han descubierto Luis Márquez Carpintero y Ernesto Canales Pereña, dos investigadores que, para demostrar lo que acababan de encontrar, se lo demostraron al periodista de Forbes que se ha hecho eco de esta noticia de manera original.
Cuando un usuario instala WhatsApp por primera vez en su teléfono móvil, o cambia de dispositivo, la compañía te pide que metas tu número para poder enviarte un código a través de SMS para verificar tu cuenta. Una vez que introduces el código, ya puedes acceder a la aplicación. Ahora bien, ¿qué pasa si otra persona mete tu teléfono en vez del suyo desde una ubicación remota? Efectivamente: te va a llegar a ti un SMS con un código que no has solicitado porque WhatsApp creerá, con razón, que eres tú quien quieres acceder a tu propia cuenta de WhatsApp, pero no es así.
Mientras tú sigues recibiendo códigos que no has pedido, el ciberdelincuente se dedica a meter códigos aleatorios en su teléfono, con su WhatsApp, pero intentando entrar con tu número.
¿El problema dónde viene? Al ciberdelincuente, llegado un determinado número de intentos fallidos, su WhatsApp le dirá que ya está bien, que no puede volver a generar un código (que te llegaba a tu móvil) durante un periodo de 12 horas. Tú, sin problema, podrás seguir utilizando tu WhatsApp como si nada y pensarás que ya ha terminado el pesado que estaba con los mensajitos, pero no te confíes, porque en esas 12 horas van a pasar cosas.
El atacante entonces se va a hacer una nueva cuenta de Gmail y va a escribir un correo electrónico a WhatsApp para pedirle que bloqueen dicho número (tu número), porque no consigue introducir el código de verificación y alega que le han robado la cuenta.
WhatsApp va a responder a ese correo diciendo que confirme el número de teléfono que quiere desactivar. El ciberdelincuente volverá a dar tu número de teléfono y WhatsApp procederá a bloquearlo temporalmente.
Aproximadamente una hora después, tu WhatsApp dejará de funcionar en tu teléfono. Así, sin haber hecho nada. Esto no sería un problema si tú pudieras solicitar un nuevo código de acceso para decir a WhatsApp que tú eres tú pero, sorpresa, cuando vas a pedirlo te dicen que durante las próximas 12 horas no puedes hacerlo porque ya lo habías hecho antes de manera abusiva, ¿recuerdas?
Desafortunadamente, los investigadores dicen que, hoy por hoy, no tendría solución.
Es probable que la cuenta regresiva indique de 10 a 11 horas en este momento. Si el ataque se detiene aquí, podrás solicitar un nuevo SMS y verificar tu cuenta con un nuevo código después de esas 12 horas. Pero el ciberdelincuente podría volver a repetir todo el proceso tantas veces como quiera, con el añadido de que a la segunda vez parece que hasta la propia app "se rompe", lanzando mensajes extraños como "inténtalo de nuevo después de -1 segundo", en lugar de poner las 12 horas que debería poner.
En definitiva, la única manera de evitar esta manera tan absurda de perder la cuenta de WhatsApp es que la propia compañía tome cartas en el asunto y reforme el sistema de los códigos de verificación para que cualquiera no pueda dejarte sin esta app que usamos todos los días.