Imagina que tomas tu teléfono para chatear por WhatsApp y, oh sorpresa, tu cuenta está suspendida, sin explicación alguna y sin forma de entrar a ella a ver qué pasó.
Un escenario de pesadilla como este, aun cuando no se ha reportado fuera de entornos controlados, podría materializarse si Facebook -la dueña de WhatsApp- no parcha una vulnerabilidad que recientemente fue demostrada por un par de investigadores de seguridad.
Suspender una cuenta ajena de WhatsApp, según lo explicado por Luis Márquez Carpintero y Ernesto Canales Pereña, podría ser increíblemente fácil, pues tan solo se requiere de tener el número de teléfono de la persona y algo de paciencia.
El primer paso para lograr la suspensión es instalar WhatsApp en otro equipo usando el número de teléfono de la víctima. Al hacer esto, viene un intento de verificación que fallará porque, evidentemente, la notificación está llegando a otro lugar. Hacer este proceso repetidas veces en un intervalo breve de tiempo resulta en un bloqueo de acceso por 12 horas.
En este punto, la cuenta aún no está suspendida, pero es aquí donde la cosa se pone particularmente interesante. Tras lograrse ese bloqueo, el siguiente paso es contactar a soporte WhatsApp vía correo electrónico y solicitar la suspensión de la cuenta bajo el alegato de que el equipo fue extraviado o robado. Listo. Ya se completó el proceso.
Por el lado de la víctima, el único indicio de que esto está pasando ocurre cuando sorpresivamente se encuentra con una notificación de que su número de teléfono ya no está registrado con WhatsApp. Es posible que al revisar se encuentre con varios mesajes -enviados por WhatsApp- con los códigos de verificación que nunca llegaron hasta los atacantes. El paso lógico sería tratar de introducir esos códigos para reactivar la cuenta, pero el bloqueo de 12 horas no lo permitirá.
Pasadas las 12 horas, si el atacante no está muy atento o quizás no tiene intención de hacer daño extensivo, la cuenta podría recuperarse. En caso contrario, es muy posible que a la tecera sea la vecida y se pierda la cuenta irremediablemente.
Aunque no hay acceso a información confidencial o robo de datos, ser víctima de este hackeo no sería nada agradable.
Pese al potencial de problemas que presenta, la respuesta de Facebook ha sido menos que satisfactoria, tanto que no hay indicios de que pretenda siquiera revisar la cuestión.