Todo sistema parece infalible hasta que se pone en práctica y comienzan a salir agujeros que en teoría no existían, pero que el uso por parte de la mano de una persona lo suficientemente astuta, pueda aprovecharse de estas.
Esto es lo que le ocurrió a WhatsApp con un error en su sistema de seguridad aparentemente inquebrantable que le da el poder a cualquier persona de bloquear tu cuenta con solo saber tu número telefónico, un dato al que no solamente tus allegados pueden conocer.
En sí, el código de esta aplicación de mensajería instantánea no parece tener nada de malo o estar mal hecho, más bien es en los términos de servicio, específicamente en donde se menciona cómo un usuario puede ser acreedor al bloqueo de su cuenta, básicamente por mal uso de esta.
Si bien este error no le dará al hacker el poder de acceder a tus chats o grupos, sí que podrá hacer que la bloqueen, dejando al usuario sin poder utilizar este servicio sin siquiera recibir una advertencia.
Una muy mala noticia si el usuario depende del servicio por cuestiones laborales, escolares o incluso personales, pues sin duda será todo un dolor de cabeza tener que pasar por esto.
El Modus operandi de cómo aprovecharse de este error
Cuando iniciamos sesión luego de haber instalado la aplicación, recordarás que este pide el número teléfono para abrir la cuenta, un mensaje con un código llega directamente al número ingresado, por lo que solo tu podrás tener acceso a el.
Sin embargo, por cuestiones de seguridad WhatsApp no permitirá el ingreso si la clave no coincide con la enviada al propietario, y aquí viene lo importante, pues después de varios fallos, la aplicación bloqueará la cuenta al menos por 12 horas.
Desde el teléfono del propietario todo funcionará de forma normal, mientras que en el teléfono del malhechor estará bloqueado el acceso. Todo parece bien hasta que esta persona se pone en contacto con el personal de soporte de WhatsApp para reportar el robo o extravío del móvil, que de acuerdo con los lineamientos de la aplicación, tiene derecho a solicitar que el servicio se bloquee e incluso se desactive de forma definitiva.
Debido a que todo este proceso es automático, ninguna persona del centro de apoyo de WhatsApp estará disponible para verificar realmente si dicha solicitud es legítima de su dueño o no, pues tampoco se pide alguna clase de verificación o pasos adicionales.
El propietario recibirá un mensaje al abrir la aplicación mencionando que el teléfono ya no está registrado en la base de datos de WhatsApp, y que posiblemente se trate de un error del usuario al dar un teléfono equivocado, pero nada más lejos de la realidad.
El usuario sin saber lo que sucede realmente, no sabe que debe esperar hasta que se cumplan las 12 horas de penalización, y aunque al pasar el tiempo el servicio se puede restablecer, este proceso se puede hacer ilimitadas veces por el atacante.
Cómo fue descubierto esta clase de ataque
Ha sido gracias a los investigadores españoles, Luis Márquez y Hernesto Canales, quienes realizaron pruebas para poder detectar alguna clase de vulnerabilidad prácticamente por concepto, donde el mismo WhatsApp le pone la soga al cuello al usuario legítimo.
Si bien respiraron aliviados al saber que no hay manera de que nuestras conversaciones, mensajes y contactos puedan ser extraídos o espiados por un tercero, sí que puede haber este tipo de ataques con solo saber el número de teléfono y mantener a un usuario sin servicio por un buen tiempo.
Hasta el momento Facebook o WhatsApp no han declarado al respecto, y lo peor de todo es que la prensa como Forbes tampoco hizo un buen trabajo al minimizar el impacto de este problema que puede ser mayor si las personas incorrectas llegan a esa información.
Prácticamente podría poner en jaque ante los usuarios los errores de concepto de WhatsApp, pero parece no importarles a pesar de que la solución es tan fácil como poner un paso extra de identificación al proceso de bloqueo de la cuenta.
Así que mientras WhatsApp arregla este problema, más vale no hacer enojar a las personas incorrectas que puedan actuar impulsivamente y con rencor con algo tan molesto como privarnos de este vital servicio.
