Cómo hackear una cuenta de WhatsApp de forma remota. Y qué hacer para protegerte


Hoy os traemos un importante fallo de seguridad de WhatsApp descubierto por VBarraquito, una de las personas más hábiles de España en localización de bugs y vulnerabilidades en iOS. Hoy hemos estado hablando con él desde iPaderos y nos ha detallado un método que permite robar cuentas de WhatsApp de forma remota, sin ni siquiera tener acceso físico al móvil de la víctima.

logo whatsapp robada

Quiénes están expuestos a este fallo de seguridad

Sólo deben preocuparse aquellos que se encuentren en la siguiente situación:

  • La víctima tiene activado el buzón de voz en su móvil
  • La operadora de telefonía del móvil no obliga a cambiar el PIN al activar el buzón de voz
  • La víctima no ha cambiado el PIN por defecto del buzón de voz
  • El atacante conoce el número de teléfono de la víctima

Cómo robar una cuenta de WhatsApp de forma remota

Para conseguirlo hay que iniciar una nueva sesión en un dispositivo diferente al móvil de la víctima, algo que se puede conseguir de la siguiente forma:

  • Llamar al número de teléfono de la víctima a una hora extraña, por ejemplo de noche, cuando no suele atender llamadas y confirmar que salta el buzón de voz, sea porque está apagado o porque está en silencio y no responde.
  • Abrir la app de WhatsApp en otro móvil y empezar el proceso de registro con el número de teléfono de la víctima. Como parte del proceso de verificación de identidad se envía un SMS al teléfono de la víctima con el código de activación.
  •  
    whatsapp telefono

  • Pasados unos minutos sin introducir el código, WhatsApp permite la opción de llamar a la víctima para decirle el código por teléfono.
  •  
    whatsapp código

    Para completar el secuestro es necesario acceder al buzón de la víctima, algo que es más fácil de lo que debería ser:

  • Lo primero es averiguar la operadora del móvil de la víctima (Vodafone, Orange, Yoigo…). En Google se pueden encontrar, y si no hay que ir probando con todas.
  • Una vez conocida, hay que llamar al número correspondiente para escuchar los mensajes del buzón de voz de dicha operadora.
  • Para escuchar los mensajes se introduce el número de teléfono de la víctima y el PIN del buzón de voz. Y aquí es precisamente donde está el eslabón débil de toda la cadena. Porque muchas operadoras no obligan a cambiarlo, y la mayoría de usuarios no lo hace por su cuenta, lo cual deja por defecto el PIN en algunas de las claves más inseguras del mundo: 0000 o 1234.
  • Una vez se tenga el código de verificación de WhatsApp se ha completado el robo. La cuenta pasa a estar en el móvil del hacker y pueden pasar días hasta que el propietario original la recupere.

Cómo evitar el robo de tu cuenta de WhatsApp

Para evitar que pase todo esto debes hacer lo siguiente:

  • Desactivar el buzón de voz si no lo usas.
  • Cambiar inmediatamente la clave del buzón de voz si lo usas. Ponle por ejemplo la del PIN del móvil.
  • Consulta las condiciones de seguridad del buzón de voz de tu operadora. Algunas, como Movistar, impiden el acceso al buzón de voz desde números distintos al tuyo hasta que hayas cambiado la clave del mismo. En otras operadoras, como Yoigo, dicen lo mismo pero no es verdad. Y el proceso aquí detallado puede hacerse completo (VBarraquito lo ha demostrado con las cuentas de varias personas de confianza, con su consentimiento).
  • Si recibes un SMS extraño de WhatsApp con un código de verificación, sospecha que alguien puede estar intentando robarte la cuenta y toma medidas de protección.
  • Piensa si estás dispuesto a perder parte de la funcionalidad de iOS y Siri desactivando ciertas notificaciones que se pueden conseguir en pantalla bloqueada y que permitirían robar tu cuenta de WhatsApp si pierdes el móvil (abajo tienes un vídeo en donde se explica esto en detalle)


 

Cómo recuperar tu cuenta de WhatsApp si te la han secuestrado

Si llegas tarde y ya te han robado la cuenta no desesperes. Aún puedes recuperarla.

  • Lo primero es intentar abrir sesión en tu móvil solicitando e introduciendo un nuevo código de verificación en tu móvil.
  • Si el hacker es especialmente perverso, puede pedir numerosas veces el código de verificación tras robar tu cuenta. Por seguridad WhatsApp va alargando los tiempos entre esos intentos, lo cual puede conducir a que te pases horas o incluso días sin poder hacer un nuevo login en tu teléfono.
  • Si la cosa se alarga en exceso contacta con WhatsApp y cuéntales tu situación para que puedas recuperar el acceso a tu cuenta.
  • Una vez recuperes el control de la cuenta toma las medidas preventivas que detallamos arriba.

Hay que dejar claro que secuestrar las cuentas de WhatsApp de terceros es delito y que el único propósito de este artículo es divulgar una vulnerabilidad para proteger a los usuarios y para que WhatsApp y las operadoras le pongan solución lo antes posible. La primera añadiendo procesos de verificación de identidad más seguros (por ejemplo con verificación en dos pasos, o a través de un mail de confianza). Las segundas evitando que sus buzones de voz puedan ser hackeados de un modo tan lamentablemente sencillos.

Si crees que tu cuenta puede ser una de las vulnerables date prisa en tomar las acciones que hemos descrito arriba para protegerla. Puedes compartir esta información con las personas que puedan estar desprotegidas usando los botones que hay bajo el mismo.

Anterior 10 aplicaciones gratuitas por tiempo limitado (12-mayo-15)
Siguiente 11 aplicaciones gratuitas por tiempo limitado (13-mayo-15)

5 Comentarios

  1. jj santos
    15 de mayo, 2015
    Responder

    tipical spanish. mas que un fallo es pura picaresca. es igual que las cajas de autopago del carrefour, tienen un fallo al mismo nivel de tonteria que este que explicais.

  2. Daniel
    15 de mayo, 2015
    Responder

    No entiendo lo de llamar al buzón de voz de dicha persona.

  3. any
    16 de mayo, 2015
    Responder

    Como llamo de mi celular al buzón de otra persona?

  4. qiita
    16 de mayo, 2015
    Responder

    Como llamo de mi celular al buzón de otra persona?

  5. daniela
    5 de junio, 2016
    Responder

    me llego un msj a mi celular 139 " codigo password…." sera que intentan hackearme…

Contestar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *