Cuando nos registramos en un servicio, normalmente solemos hacerlo creando una cuenta de usuario con un correo electrónico. Sin embargo, hay servicios que utilizan nuestro móvil como identificador, como es el caso de aplicaciones de mensajería como WhatsApp o Telegram. Ahora, han descubierto cómo robar la cuenta de WhatsApp de un móvil, incluso si éste está bloqueado.
Así lo ha relatado Yaiza Rubio en el blog Un informático en el lado del mal, de Chema Alonso, donde ha explicado cómo WhatsApp permite a un atacante robar el código de verificación por culpa de usar el buzón de voz, algo que por ejemplo Telegram no hace.
SMS o llamada, las métodos más usados para verificar cuentas de WhatsApp
En los últimos años se han sucedido muchos ataques donde alguien con nuestro número intenta obtener el código de verificación de WhatsApp que recibimos por SMS. Hay muchos usuarios que han caído en la trampa de dárselo a alguien que se lo pedía, afirmando que habían puesto tu número por error. Si damos ese código a alguien, perderemos nuestra cuenta de WhatsApp para siempre si el atacante no nos la devuelve.
Así, hay varias formas donde un atacante puede hacerse con nuestro código. Entre ellas encontramos ingeniería social (como en el método dicho anteriormente), con una app maliciosa que acceda a los SMS, con un duplicado de SIM, capturar el SMS con una antena cercana, o previsualizando el SMS en la pantalla bloqueada de nuestro móvil si tiene acceso a él.
Así, hay muchas formas de interceptar un SMS o su contenido, pero WhatsApp da más opciones para recibir el código. La más común es recibir una llamada de teléfono, la cual se realiza si tardamos más de un minuto en introducir el código recibido por SMS. En la llamada se indica el código de verificación, y si el atacante tiene acceso a nuestro móvil físico, puede responder a la llamada y escuchar el código; incluso si el móvil está bloqueado, por lo que pueden robarnos nuestra cuenta de WhatsApp si han robado nuestro móvil y no lo hemos denunciado a nuestro operador para que bloquee el IMEI. Después de introducir el código, el atacante ya tiene bajo su control nuestra cuenta de WhatsApp.
Si no respondes a SMS o llamada, WhatsApp deja el código en el buzón de voz
E incluso si no respondemos a la llamada, WhatsApp lo que hace es dejar un mensaje en el buzón de voz. Para ello hay dos formas: desde nuestro teléfono o desde otro teléfono. La primera implica realizar la llamada desde el número de teléfono desde el que se quiere acceder al buzón de voz, para lo cual no hace falta dar el PIN.
El segundo, no obstante, permite acceder al buzón de voz desde otro número de teléfono. En este caso, es necesario introducir un PIN para el que disponemos de tres intentos. Si los tres intentos son erróneos, se cuelga la llamada. Aquí se puede recurrir a usar alguno de los números PIN más comunes, como 1234, 1111 y 0000. Una vez el atacante tiene acceso al buzón de voz, ya puede escuchar el código de verificación.
En el caso de Telegram, hacer esto último no es posible, ya que, aunque envíe el código por SMS y por llamada, nunca lo hace por buzón de voz. Por tanto, WhatsApp debería dejar de permitir que el código de verificación sea accesible a través del buzón de voz. Por ello, es recomendable que lo desactives o que cambies el PIN por defecto.
No hay comentarios.:
Publicar un comentario