En los años que llevamos publicando noticias sobre WhatsApp hemos visto todo tipo de trampas, engaños y hackeos que permitían a los delincuentes y graciosillos de turno dejarte sin WhatsApp con cosas tan sencillas como enviarte unos emojis sonrientes.
Con el tiempo WhatsApp ha ido implementando nuevos sistemas de seguridad y corrigiendo bugs, hasta el punto de considerarse hoy en día una de las apps de mensajería más seguras gracias a su encriptación de extremo a extremo. Sin embargo, no todo es de color de rosa, y esta misma semana hemos podido comprobar como un atacante podía desactivar nuestra cuenta y dejarnos sin WhatsApp mediante el envío de un simple email.
Así funcionaba el deficiente sistema de WhatsApp para desactivar cuentas perdidas
Imagina que has perdido tu teléfono móvil o te lo han robado. En una situación así, WhatsApp cuenta con un sistema que te permite desactivar tu cuenta para evitar que cualquier desconocido pueda acceder a tu WhatsApp y espíe tus conversaciones.
De hecho, el sistema es tan sencillo y conveniente que basta con enviar un email a una dirección de la compañía con la frase “Lost/Stolen: Please deactivate my account” (Perdido/Robado: Por favor desactivad mi cuenta) junto con nuestro número de teléfono en formato internacional para que WhatsApp desactive la cuenta asociada a ese número de manera increíblemente ágil.
El problema es que el sistema es tan ágil que ni siquiera nos piden ninguna verificación ni comprueban que seamos los dueños de la cuenta. La desactivan en caliente, y listo.
Por supuesto, tal y como ha revelado Jake Moore, experto en ciberseguridad de ESET, esto significa que podemos enviar cualquier número de teléfono a esa dirección de email para ir cerrando cuentas de manera automática.
Los hackers podrían aprovechar esta brecha de seguridad para enviar mails de forma masiva y crear el caos, o chantajear a sus victimas con el envío constante de emails de desactivación si no pagan una recompensa. Las posibilidades de hacer daño son múltiples, cuanto menos.
Lo bueno de todo esto es que desde WhatsApp han sido rápidos en reconocer el error y a día de hoy ya no se puede utilizar este sistema para desactivar cuentas. Si has sufrido un ataque de este tipo, ten en cuenta que tal y como indica WhatsApp en su documentación, puedes recuperar cualquier cuenta desactivada si la reclamas en menos de 30 días.
Eso sí, ¿qué pasa entonces si nos roban el móvil o lo perdemos? Ahora mismo el sistema de desactivación por email no está funcionando, así que lo único que podemos hacer es cancelar la tarjeta SIM del teléfono para que WhatsApp no pueda verificar el número de teléfono y por tanto no se pueda iniciar en ese terminal.
Jake Moore, además de detectar y notificar el fallo a WhatsApp, también ha sugerido que sería recomendable activar la verificación en dos pasos de forma obligatoria, y solo aceptar emails de desactivación procedentes de direcciones verificadas.
