WhatsApp siempre ha estado en el punto de mira de expertos y usuarios por motivos de seguridad y privacidad. Ahora parece que se ha descubierto que es posible secuestrar las cuentas de los usuarios de una forma relativamente sencilla, dejando a cientos de millones de usuarios vulnerables, no sólo a manos de ciberdelincuentes, sino también de cualquier persona que sepa el truco; sin necesidad de tener ningún conocimiento técnico.
Ni siquiera es necesario, conocer el código de acceso del móvil, su PIN. Lo único que necesita el atacante es el número de teléfono de la víctima y tener acceso al smartphone durante unos segundos, aunque la pantallaesté bloqueada.
El truco lo ha publicado el consultor de seguridad Wang Wei en The Hacker News, aunque explica que no se trata de una vulnerabilidad, o de un fallo de seguridad como tal de la aplicación. No se trata de “hackear” WhatsApp, sino de aprovecharse de la forma en la que WhatsApp está diseñado y cómo funciona el mecanismo de configuración de las cuentas.
También avisa, que su publicación no tiene como objetivo animar a los usuarios a intentar usar este truco contra otros, sino avisar y concienciar a todos los lectores de que deben ser más cuidadosos (aún) con sus smartphones.
¿Cómo obtener el control de otra cuenta de WhatsApp?
En muy pocos pasos, alguien se puede adueñar de la cuenta de mensajería instantánea de otro usuario. El truco permite al atacante obtener el control de la cuenta de WhatsApp de la víctima, y lo más sorprendente: funciona independientemente en todos los sistemas operativos, Android Windows o iOS.
En primer lugar, hay que configurar una cuenta de WhatsApp en un móvil nuevo, usando el número de teléfono de la víctima.
Durante el proceso, WhatsApp llamará al número de teléfono de la víctima y enviará un PIN que tendrá que ser introducido para autentificar la cuenta. Aquí llega el problema. Si una persona, por el motivo que fuera, tuviera acceso a nuestro móvil por unos segundos, simplemente tendría que solicitar el PIN en ese momento y coger la llamada en ese instante. Aunque tuviéramos la pantalla bloqueada, código de acceso o patrón, cualquiera podría coger una llamada.
Así de simple. Solamente tendría que introducir el código en la cuenta nueva y acceder a la cuenta de WhatsApp de la víctima.
Como sabemos, WhatsApp sólo permite usar un mismo número de teléfono en un dispositivo, por lo que inmediatamente dejaría de estar disponible en el terminal de la víctima.
En este vídeo se muestra este truco, que como explican, es aún más grave para los usuarios de iPhone que hayan configurado Siri para estar disponible con la pantalla desbloqueada. De esta forma, todos los contactos están disponibles desde Siri, lo que daría a cualquiera acceso incluso a su número de teléfono sin necesidad de acceder al dispositivo más allá de la pantalla bloqueada.
No hay comentarios:
Publicar un comentario