WhatsApp y Telegram, vulnerables a un fallo que permite acceder a cualquier cuenta conociendo el número de teléfono

SS7 es un conjunto de protocolos de señalización que facilitan las comunicaciones básicas, pero posee un fallo de seguridad bastante grave que lo hace vulnerable a ataques bastante simples si conoces el número de teléfono de tu victima.

El fallo de seguridad es bien conocido, pero ponerle solución no es sencillo porque es necesario que todas las compañías de telecomunicaciones se involucren. Lógicamente tanto los operadores como los desarrolladores de aplicaciones tratan de hacer todo lo posible para proteger sus productos frente a la vulnerabilidad de SS7.

El experto en seguridad Thomas Fox-Brewster ha publicado un vídeo en YouTube en el que explica que WhatsApp y Telegram son completamente vulnerables.

La forma en la que funciona el fallo es que consigues engañar a la red haciéndole pensar que el teléfono del atacante es el propietario del número de teléfono de la víctima. De esta forma el atacante puede obtener acceso a la cuenta de WhatsApp y de Telegram de la victima.

Todo lo que ha tenido que hacer el atacante es usar la función de recuperar una contraseña perdida y elegir la opción de acceder a la cuenta a través de la verificación del número por SMS o llamada de teléfono. Como la red cree que el teléfono del atacante es el dueño del número de la víctima, el atacante consigue acceso al servicio y «expulsa» a la víctima.

Aunque en el vídeo vemos este fallo siendo explotado para WhatsApp y Telegram, funciona para cualquier servicio que utiliza el número de teléfono para verificar la identidad del usuario – como Paypal. Incluso las cuentas de Facebook y Google, bajo ciertas condiciones, pueden verse comprometidas por este fallo de seguridad si el atacante conoce el número de teléfono de la víctima.