Whatsapp y Telegram son dos de los servicios de mensajería móvil más populares: sus usuarios se cuentan por cientos de millones a lo largo de todo el mundo. Ambas compañías se han esforzado para gritar a los cuatro vientos que ofrecen un servicio muy seguro. Sin embargo, esto no es del todo cierto. Sus versiones web cuentan con puntos débiles que los hackers están aprovechando para hacerse con el control completo de las cuentas y acceder a todos sus datos, desde fotografías hasta el listado de contactos.
“Esta nueva debilidad pone en riesgo a cientos de millones de usuarios de Whatsapp Web y de Telebram Web”, explica Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point. El experto en ciberseguridad asegura que con el simple envío de una foto “aparentemente inofensiva”, el atacante puede hacerse con el control de una cuenta en estas aplicaciones, acceder al historial de mensajes, ver y descargar todas las imágenes compartidas y enviar mensajes en nombre de la víctima.
El método no es nuevo, sino que ya se utiliza en aplicaciones desktop. No obstante, Check Point saca a la luz la facilidad con la que un ciberdelicuente puede hacerse con un perfil de Whatsapp y utilizarlo con fines oscuros. El malware o código malicioso se oculta dentro de una fotografía. Tan pronto el usuario hace clic en ella, abre la puerta de acceso a todos sus datos almacenados. Además, el hacker puede enviar el archivo malicioso a todos los contactos de la víctima, lo que potencialmente permite un ataque a gran escala.
El punto fuerte, finalmente fue el débil
Afortunadamente el fallo se puede corregir. Check Point reveló la información acerca de su vulnerabilidad a los equipos de seguridad de Whatsapp y Telegram el pasado 8 de marzo y su respuesta fue inmediata. Ambas compañías reconocieron el problema de seguridad y han desarrollado una solución para sus clientes web en todo el mundo. La solución pasa por estar utilizando la última versión del navegador, así que es vital asegurarse de que está actualidado.
Las dos aplicaciones utilizan la encriptación de mensajes de extremo a extremo. Lo que quiere decir es que la comunicación es segura y solo las personas implicadas en la conversación pueden leer los mensajes.
No obstante, esta técnica ha sido la que ha dado origen a la vulnerabilidad. Al cifrar los mensajes en la parte del emisor, Whatsapp y Telegram no pudieron detectar el contenido infectado y, por tanto, no pudieron prevenir el envío de malware. Con la nueva corrección, el contenido se valida antes de pasar a ser cifrado y así es posible bloquear los archivos maliciosos.
Las versiones web de las dos aplicaciones son una extensión de su versión móvil, y recogen todos los mensajes enviados y recibidos en ella. Además de estar totalmente sincronizadas con los dispositivos de los usuarios.
El problema es mayor aún en Whatsapp. La compañía, absorbida por Facebook en 2014, cuenta con 1.000 millones de usuarios en todo el mundo -es el servicio de mensajería instantánea más utilizado en la actualidad- y su versión web está disponible en todos los navegadores y plataformas que montan los smartphones. El propio Centro Criptológico Nacional (CNN) alertaba en su último informe sobre la aplicación que, debido a su gran aceptación entre el público, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios.