Verificación en dos pasos en WhatsApp, ¿seguridad o engaño?

WhatsApp es la aplicación de mensajería mas usada en el mundo con alrededor de 1,5 Billones de usuarios en más de 180 países. Para mejorar la seguridad de estas aplicaciones cada día mas usadas, estas empresas diseñan e implementan medidas de seguridad, una de ellas es la verificación en dos pasos. WhatsApp introdujo verificación en dos pasos en 2016 varios años mas tarde que otros de los grandes proveedores de aplicaciones como Google (2012) o Facebook (2011).

Como vimos recientemente con el caso del hackeo del móvil de Albert Rivera, estas medidas de seguridad son básicas hoy en día.

¿Cómo funciona la verificación en dos pasos?

A grandes rasgos, la verificación en 2 pasos de WhatsApp se divide en dos partes:

• Al conectar a la aplicación WhatsApp por primera vez en un nuevo dispositivo, si tenías la verificación en dos pasos activa. (La medida que hubiera salvado a Albert Rivera del hackeo de su móvil)
• Una vez instalado, periódicamente te pedirá el código que estableciste como en el establecimiento inicial.

Aparentemente, ambas opciones están para proteger la cuenta de diferente modo, la primera para que desde otro dispositivo no nos secuestren la cuenta y la segunda en caso de pérdida del dispositivo no sea posible hacer uso de la aplicación. Pero esto no es del todo así, ya que la petición periódica del código en realidad no es una medida de seguridad ni es considerada por WhatsApp un segundo factor de autenticación. La petición periódica de este código no es obligatoria para acceder a las conversaciones de WhatsApp, de hecho, es posible saltársela, como mostramos en este vídeo.

¿Qué tiene que decir Facebook?

En el video se ve como con la verificación en 2 pasos activa es posible acceder a la información de las conversaciones sin conocer el código, esto nos llevó a pensar en una posible vulnerabilidad por lo que contactamos con el equipo de seguridad de Facebook, los responsables de WhatsApp y quienes gestionan su bug bounty, Nuestro mensaje decía lo siguiente:

Description:
«Using Android phone, Xiami Redmi note 5, Android version 8.1.0. and using Huawei note pro, both using WhatsApp 2.18.277 it’s possible to by pass factor authentication.»
Impact:
«You can access all the info on the device you bypass the 2 factor authentication, send messages, receive messages and read the conversations.»

La respuesta por parte de Facebook fue la siguiente:

Su respuesta fue que no lo consideran una medida de seguridad, por lo tanto, tampoco es una vulnerabilidad ya que no es considerado parte del sistema de verificación en 2 pasos.

Concienciación

Es importante que los usuarios entiendan las medidas de protección que se le aplican a sus datos y, en este caso, que sepan que si no disponen de pin o patrón de desbloqueo del terminal, las conversaciones almacenadas en WhatsApp serian accesibles por un potencial atacante. En mi opinión, añadir un sistema con apariencia de medida de seguridad sin en realidad serlo, refleja una falsa sensación de seguridad para el usuario. La molestia de recibir la petición de este pin de forma habitual puede llevar a algunos usuarios a desactivar por completo el segundo factor de autenticación, ya que como WhatsApp indica en su web no es posible tener uno sin el otro, abriendo la puerta a atacantes para que secuestren nuestro WhatsApp:

Entendemos que WhatsApp introdujo esta medida con intención de facilitar una opción de recuperar el pin, para que no se dé el caso en el último momento y ya «no tenga arreglo».

Esperemos que WhatsApp se replantee esta opción cambiando la forma de funcionamiento al menos permitiendo al usuario que decida sus protecciones de forma más granular. Para todos nosotros que trabajamos en ciberseguridad, es importante conocer estos casos y no caer en este tipo de medidas que pueden confundir al usuario.