lunes, septiembre 27, 2021
Actualidad Tecnología ESET alerta sobre ataque a cuentas de WhatsApp con números telefónicos de...

ESET alerta sobre ataque a cuentas de WhatsApp con números telefónicos de usuarios

ESET, compañía especializada en detección proactiva de amenazas, alerta a usuarios de WhatsApp sobre un posible ataque al que pueden recurrir los ciberdelincuentes y mediante el cual pueden llegar a suspender las cuentas utilizando solo el número de teléfono de los usuarios.

Al configurar una cuenta de WhatsApp por primera vez en un dispositivo, se solicita el número de teléfono para el envío de un código de verificación. Una vez que se ingresa el código, se solicitará la clave del doble factor de autenticación (2FA) para confirmar la identidad del usuario. Este ataque puntual, saca ventaja de un lapso en la seguridad de dos procesos independientes de WhatsApp, explican en un artículo sobre la investigación.

Sin embargo, no hay forma de evitar que alguien use cualquier número en el proceso de verificación. Si un atacante hiciera eso, el usuario recibiría llamadas y mensajes de WhatsApp con un código de verificación, junto con una notificación en la que lo insta a no compartir el código de registro con nadie.

El ciberdelincuente podría hacer esto de forma reiterada, y el usuario quizás no le daría importancia a los mensajes considerando que se trata de un error.

Estas solicitudes activarían en última instancia el límite que establece WhatsApp para la cantidad de veces que se pueden enviar los códigos y también haría que se bloquee el ingreso del código después de varios intentos fallidos, en ambos casos durante 12 horas.

Durante este tiempo la aplicación en el teléfono continuará funcionando con normalidad, pero el atacante habrá bloqueado la posibilidad de enviar un nuevo código o de ingresar un código en la pantalla de verificación. Por lo tanto, el tiempo fuera del servicio quizás no afecte al usuario, a menos que cierre sesión durante ese lapso.

A continuación, el atacante podría crear una nueva dirección de correo electrónico y enviar un correo al equipo de soporte de WhatsApp con el asunto “teléfono perdido/robado” solicitando que desactiven el número del usuario.

La plataforma, al parecer, verificará la “identidad” solamente mediante el envío de un correo electrónico automático que solicita el número de teléfono del usuario, por lo que el atacante suplanta así la identidad del usuario legítimo.

De esta manera WhatsApp desactivará la cuenta, y dado que se había superado el límite de intentos de verificación, el usuario no podrá iniciar sesión hasta que pasen las 12 horas y se vuelva a solicitar el código de verificación.

Lamentablemente, si el atacante no se detiene y decide repetir tres veces seguidas este proceso que desencadena el bloqueo de 12 horas, WhatsApp fallaría y mostrará un mensaje que dice “intente nuevamente después de -1 segundo”.

Los investigadores advierten que, si el atacante llega a ese punto, no habría forma de que el usuario recupere la cuenta a menos que encuentre a alguien en WhatsApp dispuesto a ayudar.

En declaraciones a la revista Forbes, un portavoz de WhatsApp dijo que “proporcionar una dirección de correo electrónico y el doble factor de autenticación ayudará a nuestro equipo de servicio al cliente a ayudar a las personas en caso de que alguna vez se encuentren con este problema. Las circunstancias identificadas por este investigador violarían nuestros términos de servicio y alentamos a cualquier persona que necesite ayuda a enviar un correo electrónico a nuestro equipo de soporte para que podamos investigar”.

El problema llamó la atención del especialista en seguridad de ESET, Jake Moore, quien recientemente mostró cómo alguien puede tomar el control de su cuenta de WhatsApp con solo saber tu número de teléfono. Moore advirtió que la nueva falla no debe tomarse a la ligera, especialmente porque podría afectar a millones y es relativamente fácil de lograr.

“No hay forma de optar por no ser descubierto en WhatsApp”, dijo. “Cualquiera puede escribir un número de teléfono para ver si existe una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos”.

ARTÍCULOS RELACIONADOS

HP presenta un portátil vertical híbrido con Tablet entre sus nuevos equipos para Windows 11

HP ha presentado las novedades de su catálogo de dispositivos que llegarán con el nuevo sistema operativo Windows 11, que incluyen modelos como el nuevo dos en uno HP Spectre x360 de 16 pulgadas, el todo en uno HP ENVY de 34 pulgadas y HP 11 inch Tablet PC, un híbrido entre portátil con soporte para pantalla vertical y tableta.

Apple despliega iOS 15 con un nuevo informe de privacidad y la función inteligente Texto en vivo

La nueva versión del sistema operativo móvil de Apple, iOS 15, ha empezado su despliegue para los usuarios de modelos de iPhone compatibles, con novedades sociales en FaceTime, mejoras en Mapas, la función inteligente Texto en vivo y un nuevo informe de privacidad sobre los permisos que se conceden a las aplicaciones.

Starlink saldrá del programa beta en octubre, según Elon Musk

Starlink, la red de satélites de Internet de la división de SpaceX, saldrá de la fase beta en la que actualmente se encuentra previsiblemente el próximo mes, como ha indicado el propio director ejecutivo, Elon Musk.

Mantente conectado

1,373FansLike
29,705FollowersFollow
43,859FollowersFollow

Ultimos artículos

María Vicario conquista Estados Unidos con su talento

La venezolana María Vicario, quien reside en Miami, sigue creciendo en el mundo del modelaje profesional.

Inameh: Tornado en Nueva Esparta fue atendido por cuerpos de seguridad

Este domingo, el Instituto Nacional de Meteorología e Hidrología (INAMEH), informó a través de imágenes de satélite, que el día sábado 25 de septiembre se produjo un Tornado en el municipio Díaz, del estado Nueva Esparta.

Designado Román Maniglia nuevo presidente del Banco de Venezuela

Este lunes, el presidente de la República Bolivariana de Venezuela, Nicolás Maduro Moros, designó a Román Maniglia como nuevo presidente del Banco de Venezuela.

Con una innovadora propuesta de pop urbano, Alkilados presenta ‘AY BB’

Alguna vez en una entrevista ALKILADOS definió su propuesta como “música para bailar y dedicar”.

ABV: montos de cheques y otros títulos de crédito deberán reflejar exclusivamente la nueva expresión monetaria desde el #1Oct

La Asociación Bancaria de Venezuela (ABV) informó que a partir de 1 de octubre, cuando entra en vigencia la nueva expresión monetaria, “el monto de los cheques y demás títulos de crédito que se emitan reflejarán la nueva expresión monetaria del bolívar. No es necesaria ninguna expresión adicional para escribir el monto en números y/o letras”.

Publicidad