Este fallo de WhatsApp permite a los atacantes ingresar su número de teléfono en una instalación de WhatsApp en sus teléfonos. El atacante puede usar su número de teléfono para comenzar a iniciar sesión en su cuenta.
Una nueva vulnerabilidad de WhatsApp permite que usuarios maliciosos puedan suspender de forma remota el uso de su número de teléfono. Según un informe de Forbes de los investigadores de seguridad Luis Márquez Carpintero y Ernesto Canales Pereña, la nueva vulnerabilidad parece haber existido en la aplicación de mensajería instantánea durante mucho tiempo. Además, permite a los atacantes restringirle la activación de su cuenta nuevamente, incluso si tiene autenticación de dos factores.
El informe también sugiere que la vulnerabilidad existe debido a dos debilidades fundamentales. La primera debilidad permite a los atacantes ingresar su número de teléfono en una instalación de WhatsApp en sus teléfonos. El atacante puede usar su número de teléfono para comenzar a iniciar sesión en su cuenta.
Si bien el atacante aún no obtendrá el código de seguridad de seis dígitos que se envía a su cuenta como un SMS, aún puede ingresar el código de seguridad incorrecto repetidamente, lo que hará que su cuenta bloquee nuevas instalaciones durante 12 horas.
Mientras tanto, el atacante podrá utilizar la segunda debilidad fundamental y ponerse en contacto con el servicio de atención al cliente de WhatsApp, donde podrán solicitar la desactivación permanente de su número. Todo lo que el atacante debe hacer para convencer a WhatsApp de que su número es en realidad su número es escribir un correo electrónico desde una nueva ID de correo electrónico indicando que "su" teléfono se ha perdido o ha sido robado.
En una declaración WhatsApp dijo que “proporcionar una dirección de correo electrónico con su verificación de dos pasos ayuda a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema poco probable. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar ".
¿Cómo proteger su cuenta?
El proceso indica que los usuarios pueden protegerse de este método de ataque vinculando sus cuentas de WhatsApp a su ID de correo electrónico. Sin embargo, WhatsApp aún no ha mencionado si la compañía trabajará para solucionar este problema. Hasta entonces, es mejor vincular una ID de correo electrónico a su cuenta.