Sólo se necesita tener acceso unos minutos al teléfono de la otra persona. Lo demostró un hacker español.
No conviene dejar el celular fuera de
control ni siquiera por unos minutos. Eso es lo que puede demorar
cualquier persona, aún con pocos conocimientos técnicos, para robar la
cuenta de WhatsApp y hacerse de todos los contactos y la historia de
conversaciones que uno tenga. Lo acaba de descubrir el hacker español
Chema Alonso, que advirtió los usuarios que tengan mucho cuidado dónde
dejan su celular y le envió a la empresa una sugerencia para que
solucione este problema.
"La verdad es que de tan simple este
método da hasta un poco de miedo. Con que solo dejes el celular en tu
escritorio y vayas al baño, cuando vuelvas ya te pueden haber robado la
cuenta. Y si el atacante quiere, te va a costar mucho recuperar tus
datos", le dice a Clarín Chema Alonso, un hacker conocido por mostrar
cómo se vulneran sistemas muchos más complejos.
El procedimiento,
efectivamente, es sencillo. Lo primero que hay que tener es un celular
con la aplicación recién descargada y sin activar (los más sofisticados
pueden usar un emulador de celular en la PC que hace lo mismo). En ese
equipo se debe activar la aplicación. Cuando pregunta cuál es el número
de teléfono, se pone el de la víctima.
WhatsApp ofrece dos formas
de verificar la autenticidad de la línea telefónica. La más usada y más
simple es a través de un SMS. El mensaje llega al celular y en un par de
clics, la cuenta WhatsApp ya sale andando. Pero como el SMS es un
sistema que muchas veces no funciona bien, el mensajero da la opción de
que el código llegue a través de un llamado telefónico. Esta última
opción es precisamente el punto débil por donde se puede meter el
intruso. Y esto esa así porque cuando ingresan las llamadas entrantes,
los celulares automáticamente desbloquean el equipo (patrones y
contraseñas) y cualquiera puede atender la llamada. Esa llamada
informará el nuevo código.
Una vez que tiene el nuevo código, al
intruso solo le queda introducirlo en el otro celular. Accederá a los
contactos y conversaciones. Al estar en el nuevo teléfono, la cuenta se
borra del celular original. El intruso tiene mucho tiempo para espiar o
hacer desastres haciéndose pasar por el usuario original: el tiempo que
el dueño de la línea tarde en advertir el robo más otros 30 minutos que
es lo que demora WhatsApp en reponer la cuenta. "Peor aún, porque la
primera vez te da 30 minutos, pero si el atacante vuelve a solicitar
acceso la segunda vez da una hora y así va subiendo hasta a 4 horas",
dice Alonso.
Francisco Amato, experto en seguridad informática y
CEO de Infobyte, afirma que para que el sistema sea más seguro "debería
haber una instancia más entre la llamada y la habilitación de la
cuenta". Fuentes de la industria le dijeron a Clarín que WhatsApp usa
uno de los sistemas de encriptado más avanzados, y que esto hace que los
datos estén muy protegidos dentro del sistema. Aunque parece que
descuidaron la puerta de entrada.
Autor