No conviene dejar el celular fuera de control ni siquiera por unos minutos. Eso es lo que puede demorar cualquier persona, aún con pocos conocimientos técnicos, para robar la cuenta de WhatsApp y hacerse de todos los contactos y la historia de conversaciones que uno tenga. Lo acaba de descubrir el hacker español Chema Alonso, que advirtió los usuarios que tengan mucho cuidado dónde dejan su celular y le envió a la empresa una sugerencia para que solucione este problema.

"La verdad es que de tan simple este método da hasta un poco de miedo. Con que solo dejes el celular en tu escritorio y vayas al baño, cuando vuelvas ya te pueden haber robado la cuenta. Y si el atacante quiere, te va a costar mucho recuperar tus datos", le dice a Clarín Chema Alonso, un hacker conocido por mostrar cómo se vulneran sistemas muchos más complejos.

El procedimiento, efectivamente, es sencillo. Lo primero que hay que tener es un celular con la aplicación recién descargada y sin activar (los más sofisticados pueden usar un emulador de celular en la PC que hace lo mismo). En ese equipo se debe activar la aplicación. Cuando pregunta cuál es el número de teléfono, se pone el de la víctima.

WhatsApp ofrece dos formas de verificar la autenticidad de la línea telefónica. La más usada y más simple es a través de un SMS. El mensaje llega al celular y en un par de clics, la cuenta WhatsApp ya sale andando. Pero como el SMS es un sistema que muchas veces no funciona bien, el mensajero da la opción de que el código llegue a través de un llamado telefónico. Esta última opción es precisamente el punto débil por donde se puede meter el intruso. Y esto esa así porque cuando ingresan las llamadas entrantes, los celulares automáticamente desbloquean el equipo (patrones y contraseñas) y cualquiera puede atender la llamada. Esa llamada informará el nuevo código.

Una vez que tiene el nuevo código, al intruso solo le queda introducirlo en el otro celular. Accederá a los contactos y conversaciones. Al estar en el nuevo teléfono, la cuenta se borra del celular original. El intruso tiene mucho tiempo para espiar o hacer desastres haciéndose pasar por el usuario original: el tiempo que el dueño de la línea tarde en advertir el robo más otros 30 minutos que es lo que demora WhatsApp en reponer la cuenta. "Peor aún, porque la primera vez te da 30 minutos, pero si el atacante vuelve a solicitar acceso la segunda vez da una hora y así va subiendo hasta a 4 horas", dice Alonso.

Francisco Amato, experto en seguridad informática y CEO de Infobyte, afirma que para que el sistema sea más seguro "debería haber una instancia más entre la llamada y la habilitación de la cuenta". Fuentes de la industria le dijeron a Clarín que WhatsApp usa uno de los sistemas de encriptado más avanzados, y que esto hace que los datos estén muy protegidos dentro del sistema. Aunque parece que descuidaron la puerta de entrada.