¡SORTEOS! Sorteamos un ZTE Blade A610 Plus [Participar] y un Xiaomi Redmi Note 4X [Participar]

WhatsApp y Telegram, vulnerables a un fallo que permite acceder a cualquier cuenta conociendo el número de teléfono

SS7_WhatsApp_Telegram-1600x900[1]

SS7 es un conjunto de protocolos de señalización que facilitan las comunicaciones básicas, pero posee un fallo de seguridad bastante grave que lo hace vulnerable a ataques bastante simples si conoces el número de teléfono de tu victima.

El fallo de seguridad es bien conocido, pero ponerle solución no es sencillo porque es necesario que todas las compañías de telecomunicaciones se involucren. Lógicamente tanto los operadores como los desarrolladores de aplicaciones tratan de hacer todo lo posible para proteger sus productos frente a la vulnerabilidad de SS7.

El experto en seguridad Thomas Fox-Brewster ha publicado un vídeo en YouTube en el que explica que WhatsApp y Telegram son completamente vulnerables.

La forma en la que funciona el fallo es que consigues engañar a la red haciéndole pensar que el teléfono del atacante es el propietario del número de teléfono de la víctima. De esta forma el atacante puede obtener acceso a la cuenta de WhatsApp y de Telegram de la victima.

Todo lo que ha tenido que hacer el atacante es usar la función de recuperar una contraseña perdida y elegir la opción de acceder a la cuenta a través de la verificación del número por SMS o llamada de teléfono. Como la red cree que el teléfono del atacante es el dueño del número de la víctima, el atacante consigue acceso al servicio y “expulsa” a la víctima.

Aunque en el vídeo vemos este fallo siendo explotado para WhatsApp y Telegram, funciona para cualquier servicio que utiliza el número de teléfono para verificar la identidad del usuario – como Paypal. Incluso las cuentas de Facebook y Google, bajo ciertas condiciones, pueden verse comprometidas por este fallo de seguridad si el atacante conoce el número de teléfono de la víctima.

» ATENCIÓN: Estamos sorteando un ZTE Blade A610 Plus [Participar] y un Xiaomi Redmi Note 4X [Participar]

  • CartDestr

    En Telegram puedes habilitar la autenticación en dos pasos; y en ese caso el SMS no serviría de nada si no tienen tu contraseña del segundo paso.

    • droben

      que bien, no sabía eso, gracias

  • Jon

    He leído esta noticia muchas veces ya, y nunca mencionais lo que dice CartDestr. Si activas la autenticación en 2 pasos, esta vulnerabilidad no existe en Telegram.