Un importante experto en seguridad advirtió a todos los usuarios de WhatsApp de que sus cuentas podrían ser desactivadas por cualquier persona que envíe un correo electrónico, y actualmente no hay forma de impedirlo.
Si perdés o te roban el smartphone, tenés muchas cosas de las que preocuparte. Al fin y al cabo, estos dispositivos se convirtieron en nuestros propios centros de datos personales. WhatsApp intentó dar a los usuarios una cosa menos de la que preocuparse facilitando la desactivación de sus cuentas en un escenario así.
Sin embargo, como advirtió un importante experto en seguridad, al facilitar demasiado el proceso, WhatsApp podría haber expuesto a todos los usuarios a un ataque de denegación de servicio demasiado sencillo.
Advertencia sobre la desactivación de cuentas de WhatsApp por correo electrónico.
Jake Moore, asesor global de ciberseguridad de ESET y ex jefe de forense digital de las fuerzas de seguridad, tomó Twitter para advertir a los usuarios de lo fácil que es para un actor malicioso, una pareja abusiva o cualquiera que tenga tu número de teléfono desactivar tu cuenta de WhatsApp de forma remota.
Moore publicó una captura de pantalla de las preguntas más frecuentes del servicio de asistencia de WhatsApp para obtener ayuda en caso de pérdida o robo del teléfono: "A ver si lo entiendo bien, ¿puedo escribir CUALQUIER número y desactivan esa cuenta?".
Como se puede ver en la captura de pantalla anterior, WhatsApp afirma que simplemente enviando la frase "Perdido/robado: Por favor, desactiven mi cuenta" en un correo electrónico que también incluya el número de teléfono asociado a esa cuenta, a una dirección de correo electrónico proporcionada, la cuenta desactiva al instante.
¿Qué ocurre cuando alguien envía un correo electrónico de desactivación a WhatsApp?
Es importante señalar que WhatsApp se encuentra en una situación delicada, ya que necesita que el proceso de desactivación de una cuenta sea lo más fácil y rápido posible en caso de pérdida o robo de un teléfono.
Si no fuera así, las implicaciones para la privacidad serían evidentes. Y olvidate de que el FBI acceda a tus mensajes; tu seguridad personal bien podría estar en peligro si tus mensajes de WhatsApp legan a manos de una pareja maltratadora o, peor aún, de un régimen opresor en determinados casos de uso. Entonces, ¿qué pasa realmente cuando se solicita la desactivación?
Para empezar, la cuenta no se elimina y tus contactos pueden seguir viendo tu perfil. Es mas, pueden seguir enviándote mensajes. Los mensajes se mantienen como pendientes hasta 30 días después de la desactivación. Esto es importante, porque tenes esos 30 días para reactivar tu cuenta, después de lo cual se eliminará.
¿Cómo podés reactivar tu cuenta? Simplemente abriendo la aplicación de WhatsApp e iniciando sesión de nuevo. En efecto, la desactivación es más un ejercicio de cierre de sesión, pero con la amenaza de "volve a iniciar sesión en un plazo de 30 días o el conejo se la quedará".
Como Moore, y otros, señalaron en el hilo de Twitter, esto podría utilizarse potencialmente para ejecutar un ataque de denegación de servicio contra un usuario escribiendo un script que envíe continuamente el correo electrónico de desactivación durante un período de 30 días.
Actualización 1: Parece que la naturaleza instantánea de la aplicación de una solicitud de desactivación puede haber sido suspendida, al menos temporalmente. En lugar de recibir un mensaje de respuesta confirmando la desactivación de la cuenta inmediatamente, ahora parece haber cambiado a uno confirmando la recepción de la solicitud y diciendo que el soporte de WhatsApp “se pondrá en contacto con respecto a su consulta tan pronto como podamos”.
Actualización 2: Las cosas se están moviendo a un ritmo bastante rápido desde el tuit de Jake Moore y la publicación de esta historia en Forbes. WhatsApp parece haber dado un paso atrás en la eliminación inmediata y automática de cuentas.
En su lugar, después de recibir el mensaje del que hablé anteriormente, los usuarios ahora reciben un seguimiento que solicita una verificación adicional de la propiedad de la cuenta antes de que la desactivación pueda tener lugar. Esa verificación debe consistir en documentación como una copia de la factura telefónica o del contrato.
¿Cómo se puede mitigar la amenaza de la desactivación de WhatsApp?
Parece que no hay forma, al menos por ahora, de que un usuario pueda evitar que un actor malicioso le niegue el acceso a su cuenta de WhatsApp utilizando el método del correo electrónico de desactivación. Me puse en contacto con Meta para que se pronuncie al respecto y actualizaré este artículo cuando reciba respuesta.
Mientras tanto, hablé con Moore sobre su opinión al respecto. "Los delincuentes podrían desactivar fácilmente cualquier número de WhatsApp y, como resultado, esa cuenta no recibiría ningún mensaje hasta que abrieran la aplicación y la reactivaran", afirma Moore.
“Esto podría llevarse a cabo continuamente sin que parezca haber forma de evitarlo en la situación actual. Esto es muy preocupante, ya que simplemente cualquier dirección de correo electrónico puede desactivar cualquier número de WhatsApp con un solo correo electrónico al soporte de WhatsApp”.
En cuanto a la posible mitigación, Moore apunta a la verificación en dos pasos, Pero hay una trampa.
"La verificación en dos pasos se ofrece a todas las cuentas de WhatsApp", dice Moore, “pero no está activada por defecto, lo que sigue siendo un problema para las cuentas secuestradas. Cuando la verificación en dos pasos está activada, se requiere una dirección de correo electrónico, por lo que, naturalmente, esta podría ser también la única dirección de correo electrónico que habilite el método de desactivación”.
*Con información de Forbes US