Fallo grave en WhatsApp: cualquiera puede hacerse pasar por ti
Descubren una vulnerabilidad en la app que permite saltarse el cifrado y modificar cualquier mensaje.
Con más de 1.500 millones de usuarios activos al mes, WhatsApp es la app número 1 en el mundo para conversaciones y mensajes. Pero dada su gigantesca audiencia, es también la aplicación más ideal para llevar a cabo actividades como timos, estafas y hackeos, ya que la capacidad de dispersión viral que posee la app -llegar a cientos de miles de usuarios en muy poco tiempo-, es enorme. Es por ello que cuando se encuentra un fallo o vulnerabilidad en WhatsApp, las víctimas potenciales son literalmente millones, por lo que la cosa es particularmente grave. Justo como sucede ahora mismo.
Vulnerabilidad en WhatsApp
Investigadores de la firma de seguridad Check Point han encontrado un gravísimo fallo en los protocolos de seguridad de la app en forma de vulnerabilidad, que permitiría a un hacker ser capaz de aprovecharla para saltarse el cifrado de seguridad y poder cambiar el contenido de un mensaje ya enviado. Sí, tal cual, hacer lo que a muchos les gustaría poder: editar un mensaje ya enviado pero sin ningún límite de tiempo. El problema es que esta vulnerabilidad no se limita en sí a los mensajes que ya enviaste, sino que te da poder para vulnerar la privacidad de cualquier conversación entre dos usuarios o de grupo, colarte en ella y empezar a cambiar mensajes.
Teniendo en cuenta que se envían al día 65 millones de mensajes, este fallo de WhatsApp es un peligro en potencia dado que cualquiera puede hacerse pasar por ti, suplantar tu identidad y empezar a escribir en tu nombre lo que quiera en chats y grupos. También es un peligro para el tema de las Noticias Falsas, ya que el alcance de la app + esta vulnerabilidad podrían causar estragos si un grupo hacker orquestase una campaña de ‘Fake News’ modificando además conversaciones y mensajes.
Atacar de tres formas distintas
Según un vídeo publicado por la propia Check Point, el agujero de seguridad en WhatsApp permite realizar tres tipos de ataques diferentes:
- Editar un mensaje: cualquier mensaje de texto ya enviado puede ser alterado y mostrar cosas que en realidad el emisor del mensaje no ha dicho.
- Citar un mensaje: el atacante puede citar un mensaje como respuesta dentro de una conversación de grupo, aunque en la realidad quien haga esto no forme parte del propio grupo. Tal mensaje puede contener un enlace por ejemplo a una web con malware Phishing, por lo que todos los del grupo confiarían y harían click en el link.
- Enviar un mensaje de grupo de forma individual: el último tipo de ataque es el más complejo, ya que permite a cualquiera el poder enviar un mensaje dentro de un grupo a un miembro en específico. El receptor del mensaje se creerá que está leyendo un mensaje que ha sido enviado a todo el grupo, aunque la realidad es que sólo lo estará leyendo él. Eso sí, la respuesta que escriba a dicho mensaje podrá ser vista por todos los miembros.
- Editar un mensaje: cualquier mensaje de texto ya enviado puede ser alterado y mostrar cosas que en realidad el emisor del mensaje no ha dicho.
- Citar un mensaje: el atacante puede citar un mensaje como respuesta dentro de una conversación de grupo, aunque en la realidad quien haga esto no forme parte del propio grupo. Tal mensaje puede contener un enlace por ejemplo a una web con malware Phishing, por lo que todos los del grupo confiarían y harían click en el link.
- Enviar un mensaje de grupo de forma individual: el último tipo de ataque es el más complejo, ya que permite a cualquiera el poder enviar un mensaje dentro de un grupo a un miembro en específico. El receptor del mensaje se creerá que está leyendo un mensaje que ha sido enviado a todo el grupo, aunque la realidad es que sólo lo estará leyendo él. Eso sí, la respuesta que escriba a dicho mensaje podrá ser vista por todos los miembros.
Sí, lo peor de todo es que la vulnerabilidad no ha sido corregida, aún no hay parche oficial. La firma Check Point contactó con la propia WhatsApp antes de hacer público su descubrimiento. Lo curioso es que la compañía reconoció que existen esas vulnerabilidades y que forman parte del diseño de su red framework. WhatsApp está abierta a soluciones para corregirlas, así que esperemos que más pronto que tarde corrijan semejante fallo de seguridad.