Noticias

Descubren vulnerabilidad que podría poner en peligro tu WhatsApp y PayPal

Durante una convención de hackers en Las Vegas, llamada DEF CON, uno de los presentadores del evento reveló un nuevo método que atacantes están utilizando para conseguir acceso a cuentas de WhatsApp, PayPal y otra diversidad de servicios que cuentan con una aplicación móvil. Por medio del buzón de voz de un teléfono, hackers han logrado robar información personal de usuarios, sin que ellos lo sepan.

dkq9llbuuaalrun-3a2822a464f15b8329055c7313d901b1
Martin Vigo

Martín Vigo, el hacker español que dio la presentación durante el DEF CON, mostró lo fácil que es “hackear” el buzón de voz de un dispositivo celular. Enfatizando la falta de seguridad que tiene esta función, describió como la clave predeterminada para acceder a este suele tratarse de solo cuatro dígitos. Además, sin un límite de intentos establecido por las operadoras, cualquiera puede seguir intentando hasta adivinar el código.

 

Una vez que cuentan con acceso al buzón de voz, obtener acceso a una aplicación como WhatsApp es fácil. Al iniciar sesión en la aplicación, el usuario debe introducir un código de acceso único que se le es enviado por medio de un mensaje texto a su equipo.

Sin embargo, es posible pedir que el código le sea entregado por medio de una llamada telefónica. Si uno no contesta la llamada, apaga el equipo o está fuera de servicio, WhatsApp simplemente deja el mensaje con el código en el buzón de voz.

Para aplicaciones que prevén este método, como PayPal, se encontró otro método para conseguir acceso. Cuando un usuario desea restablecer la contraseña de su servicio PayPal, la empresa requiere que el nuevo PIN sea introducido durante la llamada por medio del teclado numérico del equipo, evitando por completo el buzón de voz al no dejar ningún mensaje.

El problema es que la llamada es realizada por un sistema automatizado que no puede identificar cuando la llamada accede al buzón de voz. Al cambiar la grabación del mensaje de saludo de buzón de voz por un nuevo mensaje que incluya tonos de marcación del teclado, es posible engañar al sistema automatizado y obtener acceso a la nueva contraseña de PayPal.

De esta manera, Vigo logró demostrar la vulnerabilidad que representa el contar con un buzón de voz. La clonación de números de teléfono ya es un enorme problema de seguridad, pero con esto, el acceso a nuestra información personal es todavía más riesgoso. El español ha recomendado entonces cambiar el código de acceso para el buzón de voz, y realizar cambios constantes y seguros.

O mejor aún, desactivar por completo el buzón de voz de nuestro servicio telefónico.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s