Cuba
Fallo en Whatsapp estaría siendo aprovechado por el G-2 en Cuba
Expertos españoles “descubren” un fallo en Whatsapp.
El fallo sería el mismo que ha estado utilizando la Seguridad del Estado en Cuba para “hackear” las cuentas de los animalistas como Beatriz Batista, Javier Larrea y Leydi Laura Hernández.
El diario español ABC ha recogido hoy en sus páginas una nota referente a un fallo de WhatsApp que podría ser el mismo que desde hace meses ha venido explotando la Seguridad del Estado en Cuba. El fallo permite bloquear cuentas con tan solo tener el número de teléfono.
Esta vulnerabilidad, molesta en extremo, sería la misma que habrían utilizado con la animalista cubana Leydi Laura Hernández y su esposo, el rapero contestatario Omar Mena.
Un amigo personal de este redactor, Alejandro Mirabal, también sufrió el pasado año las consecuencias de este fallo en Whatsapp. Como consecuencia debió cambiar su número de teléfono, ya que estuvo durante todo el día sin WhatsApp y todos sus contactos y “el trabajo” lo desarrollaba a través de esta plataforma.
La notificación sobre este fallo en WhatsApp fue notificada por él a [email protected].
“Luego de tres correos para allá y tres para acá, ellos me aseguraron que era imposible que alguien accediera desde otro teléfono a mi cuenta, y tan solo se limitaron a decirme que este aviso es una medida de protección extra de WhatsApp. Yo les dije que si continuaban intentando entrar a mi teléfono durante el día, me veía imposibilitado de trabajar. Nunca más me contestaron”, explica vía telefónica Mirabal.
Ahora, explica ABC, lo han advertido los investigadores de ciberseguridad Luis Márquez Carpintero y Ernesto Canales Pereña. Estos expertos han explicado que la vulnerabilidad afecta incluso a los usuarios que tengan activado el sistema de autenticación de doble factor que usa WhatsApp para incorporar una capa adicional de seguridad, como recoge Forbes.
“Ellos me indicaron que activara el doble factor de autentificación; yo les dije que lo tenía. Entonces me respondieron lo mismo que en el correo anterior: que era imposible acceder desde otro teléfono a mi cuenta de Whatsapp”, manifiesta Mirabal desde Homestead.
Fallo de WhatsApp, en detalle
Dicen Márquez Carpintero y Canales Pereña que este fallo en la aplicación “se debe a dos procesos independientes en WhatsApp que, utilizados por un cibercriminal, le permiten bloquear una cuenta y evitar que el propietario pueda volver a acceder a ella”.
“La primera parte de la vulnerabilidad consiste en que cualquier persona puede introducir el número de teléfono de un usuario de WhatsApp. En ese caso, la víctima recibe el código de verificación de seis dígitos por SMS o por llamada, y también una notificación avisando de la solicitud del código, y recordando que no debe compartirse con nadie bajo ningún concepto”.
Leydi Laura Hernández, desde Santa Clara, confirmó en días pasados haber tenido el mismo problema; que es -en teoría, porque no contamos con fotos enviadas por ellos- el mismo “intento de hackeo” que sufrieron otros dos animalistas cubanos: Beatriz Batista y Javier Larrea.
tal vez quieras leer: Animalistas cubanos denuncian intento de hackeo
De acuerdo con los expertos españoles, “el problema está en que los cibercriminales pueden llevar a cabo este proceso mientras el usuario continúa utilizando de forma normal su cuenta de WhatsApp, solamente con conocer el número de teléfono de la víctima”.
“Al introducir de forma repetida una clave SMS errónea -que el usuario ignorará porque no los ha solicitado ni tiene la posibilidad de introducirlos-, los cibercriminales pueden seleccionar la opción que da la aplicación de enviar un código nuevo dentro de doce horas, que bloquea la introducción de códigos de seguridad mientras tanto”.
El problema incluso es más grave. Refieren Márquez Carpintero y Canales Pereña que “como segunda parte de la vulnerabilidad, los cibercriminales pueden enviar un mensaje de correo electrónico al soporte de WhatsApp, avisando de un supuesto robo del teléfono y pidiendo que la cuenta sea desactivada”.
“En este proceso solo se requiere confirmar el número de teléfono asociado a la cuenta”.
¿Qué sucede después?
Los expertos agregan en su análisis que una vez hecha “esta solicitud”, la plataforma de mensajería “comienza el proceso para desactivar la cuenta del usuario, y la víctima recibe una notificación para avisarle de que su número de teléfono ya no está asociado a la cuenta”.
“Cuando se intenta restablecer y se introduce el número de teléfono, WhatsApp no envía nuevo código por SMS y avisa de que es necesario esperar doce horas por haberse realizado demasiadas solicitudes antes”.
Transcurridas esas doce horas, WhatsApp no habilita al propietario original de la cuenta ningún un nuevo código.
“WhatsApp avisa de que quedan «-1 segundos» para poder generar una nueva clave SMS. Este mensaje de error se muestra tanto a la víctima como al atacante. De esta manera, la cuenta del usuario queda bloqueada de forma permanente”, añadieron los investigadores.
El único modo de reactivar la cuenta es contactando directamente con el soporte de WhatsApp para que proceda a una revisión manual del caso.
“Me dijeron que el proceso podía demorar 72 horas. No podía estar 72 horas sin trabajar; así que lo que hice fue, desinstalar mi WhatsApp, llamar a T-Mobile, pagar 15 dólares por el cambio de número de teléfono. Instalarme el whatsApp. Llamar a uno de mis contactos -mi jefe- para que este le avisara al resto de mis colegas de trabajo de mi nuevo número”, detalló a este redactor, a modo de resumen, Alejandro Mirabal, quien vivió -dice- “toda una odisea” ese día.
“Por suerte no perdí el trabajo. Mi jefe entendió el problema”, admitió ya más tranquilo.
Roberto A.
