appiphanyinc.com

Pável Dúrov, uno de los creadores de Telegram, no pierde ocasión de decirlo siempre que puede: WhatsApp está plagado de brechas de seguridad (podéis leer AQUÍ su manifiesto). Sin llegar a los extremos de Pável, que considera la app de mensajería de Facebook un troyano en toda regla, lo cierto es que WhatsApp es todo un caramelo para los hackers: lo utilizan miles de millones de personas y por tanto la repercusión de sus acciones suelen tener un alcance global.

5 técnicas con las que un ciberdelincuente podría llegar a hackear una cuenta de WhatsApp

Dejando de lado todos los problemas de seguridad que pueda tener WhatsApp (y entendiendo que estos problemas se solucionan mediante actualizaciones de la app), lo cierto es que hay varias formas en las que la integridad y privacidad de nuestras conversaciones pueden quedan en entredicho. Estas son algunas de las más destacadas.

1- La ejecución de código remoto a través de un GIF

Hace apenas un mes, en octubre de 2019, el investigador en seguridad “Awakened” explicaba en un post de Github cómo había detectado un fallo de seguridad en WhatsApp para Android que permitía a los hackers tomar el control del mismo mediante el envío de un simple GIF.

El hack se aprovecha de cómo WhatsApp procesa las imágenes: cuando el sistema intenta mostrar la previsualización de un GIF, este analiza el GIF al completo en lugar de escoger únicamente la primera imagen. Como los archivos GIF son una secuencia de imágenes una detrás de otra, esto permite al hacker introducir código entre una imagen y otra. ¿Qué es lo que ocurre entonces? Que cuando WhatsApp intenta hacer la previsualización del GIF que ha enviado el hacker, al analizar el “paquete completo” del GIF (imágenes+código entre medias), el usuario queda infectado sin ni siquiera llegar a abrir el GIF en cuestión.

Por suerte, según comenta el propio Awakened, tras notificar el problema a Facebook este ha sido subsanado mediante un patch en una reciente actualización (más concretamente, en la versión 2.19.244 de WhatsApp para Android).

2- Ataques de ingeniería social

Los ataques de ingeniería social aprovechan la psicología humana para robar información o extender bulos y fake news. Esta brecha de seguridad que comentamos a continuación fue descubierta por Check Point Research, y en ella se aprovecha de la función de “citar” utilizada en WhatsApp para contestar o enviar una réplica a un mensaje concreto de un chat.

El truco básicamente consiste en contestar a un mensaje pero modificando el texto del remitente. Para ello se hace uso de la versión web de WhatsApp para desencriptar los mensajes utilizando el decodificador Burp como intermediario. En este pequeño video explicativo podemos ver su funcionamiento más claramente.

Aunque esta vulnerabilidad fue descubierta en 2018 todavía no se ha implementado ningún parche para solucionar el problema, según indica ZDNet en ESTE POST de agosto de 2019.

3- La llamada de voz Pegaso

Este es un ataque que se efectua mediante la realización de una llamada de voz a través de WhatsApp. Lo más aterrador de todo es que ni siquiera es necesario que contestemos a la llamada, puediendo infectar al usuario sin que este siquiera llegue a enterarse.

El método utilizado para este ataque es lo que se conoce como “stack overflow”, y consiste en introducir una gran cantidad de código en un pequeño buffer, de tal forma que se desborda y acaba escribiendo ese código en lugares a los que no debería poder acceder.

En este caso, el hacker introduce un malware llamado “Pegasus” el cual es capaz de acceder a los mensajes, llamadas, fotos y videos de la víctima.

Este ataque fue utilizado por una compañía israelí, acusada de espiar a organizaciones como Amnistía Internacional y otros grupos de activistas a favor de los derechos humanos. WhatsApp ya parcheó la aplicación para evitar este tipo de ataques, pero si tienes una versión de WhatsApp para Android anterior a la 2.19.134, o una versión anterior a la 2.19.51 en iOS, lo mejor es que actualices cuanto antes.

4- El truco del cambiazo

Este otro tipo de ataque se conoce como el “secuestro de archivos multimedia”, el cual aprovecha una vulnerabilidad presente en la mayoría de apps de mensajería, tales como WhatsApp y Telegram.

Aquí el hacker insertaría el código malicioso dentro de una aplicación en principio inofensiva, y una vez la víctima la ha instalado, se quedaría a la escucha. Así, cuando el usuario reciba una foto o video por WhatsApp y esta vaya a su Galería, la app sería capaz de captar el archivo entrante y sustituirlo por otro archivo completamente diferente.

Según indica Symantec, este es un engaño que puede utilizarse para extender noticias falsas y fomentar la desinformación. En cualquier caso, se trata de un “hack” que podemos prevenir fácilmente entrando en los ajustes de WhatsApp, en “Ajustes -> Chats” y desactivando la pestaña “Visibilidad de archivos multimedia”.

5- Hola, Facebook…¿estás ahí?

Para finalizar, tampoco podemos cerrar este post sin mencionar al propio Facebook. Aunque WhatsApp utiliza encriptación de extremo a extremo para proteger el contenido de todo lo que enviamos por WhatsApp, no son pocas las voces que opinan que la compañía de la gran F podría estar espiando parte de las conversaciones.

Esto se debe a que, tal y como indica el desarrollador Gregorio Zanon, aunque WhatsApp utiliza encriptación de extremo a extremo, en versiones de iOS 8 y superiores, las apps utilizan lo que se conoce como “contenedores compartidos” donde pueden acceder a ciertos ficheros.

Tanto Facebook como WhatsApp utilizan el mismo contenedor compartido en los dispositivos. Y aunque a la hora de la verdad los chats se envían perfectamente encriptados a través de la aplicación, eso no quiere decir que estos se encuentren encriptados en el dispositivo de origen.

Debe quedar claro, eso sí, de que no hay ninguna evidencia de que Facebook esté leyendo mensajes privados de WhatsApp (aunque potencialmente tenga la posibilidad de hacerlo). Es más, la compañía siempre ha hecho especial hincapié en proteger la privacidad del usuario, a través de su política de privacidad y mediante publicaciones como ESTA en el blog oficial de la aplicación.

¿Tienes Telegram instalado? Recibe el mejor post de cada día en nuestro canal. O si lo prefieres, entérate de todo desde nuestra página de Facebook.