Usuarios podrían difundir noticias falsas por vulnerabilidad en WhatsApp

La falla permite a usuarios maliciosos modificar contenidos

Especialistas de seguridad en redes informáticas reportan que la popular aplicación de mensajería instantánea WhatsApp se ha visto afectada por múltiples vulnerabilidades de seguridad que podrían permitir a usuarios malintencionados interceptar y modificar el contenido de los mensajes enviados tanto en conversaciones privadas como grupales.

Descubiertas por investigadores de seguridad en redes informáticas israelíes, las vulnerabilidades toman ventaja de un vacío en los protocolos de seguridad de WhatsApp para cambiar el contenido de los mensajes, permitiendo a los usuarios maliciosos crear y difundir información falsa o contenido malicioso que aparenta proceder de fuentes confiables. Las vulnerabilidades residen en la forma en que la aplicación móvil de WhatsApp se conecta con WhatsApp Web y descifra los mensajes cifrados de extremo a extremo.

Estas fallas podrían permitir a los hackers utilizar la función de ‘citar’ en una conversación grupal de WhatsApp para cambiar la identidad del remitente o alterar el contenido de la respuesta de otra persona a un chat grupal, o incluso enviar mensajes privados a alguno de los participantes del grupo (siendo invisibles para otros miembros) disfrazado como un mensaje para todos los participantes del grupo.

Por ejemplo, los investigadores de seguridad en redes informáticas pudieron cambiar una entrada de chat de WhatsApp que decía “¡genial!”, enviada por un miembro de un grupo, para que los demás leyeran “¡Voy a morir, estoy en un hospital ahora mismo!”.

Cabe señalar que las vulnerabilidades reportadas no permiten que terceros intercepten o modifiquen los mensajes de WhatsApp encriptados de extremo a extremo, sino que podrían ser explotados sólo por usuarios malintencionados que formen parte de una conversación grupal de WhatsApp.

Para explotar estas vulnerabilidades, los expertos en seguridad en redes informáticas crearon una nueva extensión personalizada para el popular software de seguridad para aplicaciones web Burp Suite, permitiéndoles interceptar y modificar fácilmente mensajes cifrados enviados y recibidos por WhatsApp Web.

Esta herramienta, a la que denominaron “WhatsApp Protocol Decryption Burp Tool”, está disponible de forma gratuita en GitHub, y requiere que un atacante ingrese sus claves privadas y públicas, que pueden ser fácilmente obtenidas de la fase de generación de claves de WhatsApp Web antes de que se genere el código QR.

Los especialistas de seguridad en redes informáticas describieron las tres diferentes variables del hack:

  1. Cambiar la respuesta de un mensaje: Usando la extensión de Burp Suite, un usuario de WhatsApp malicioso puede alterar el contenido de las respuestas de otros usuarios, poniendo en su boca palabras que realmente nunca dijeron.
  2. Cambiar la identidad del remitente de un mensaje en un chat grupal, aún si se trata de alguien que no está en el grupo: El ataque permite a los usuarios maliciosos explotar la función de ‘citar’ – que permite responder a un mensaje pasado creando una etiqueta – para crear una respuesta falsa, haciéndose pasar por alguien más.
  3. Enviar un mensaje privado en un chat grupal, pero cuando el destinatario responde, todo el grupo lo ve: El tercer ataque de WhatsApp permite que un usuario malintencionado envíe un mensaje especialmente diseñado que sólo una persona específica podrá ver. Si la persona seleccionada responde al mensaje, sólo esta respuesta se mostrará a todos en el grupo.

WhatsApp decidió dejar las vulnerabilidades sin arreglar

Los investigadores de seguridad en redes informáticas reportaron las fallas al equipo de seguridad de WhatsApp, pero la compañía argumentó que dado que estos mensajes no comprometen el cifrado de extremo a extremo, los usuarios siempre tendrán la opción de bloquear a un remitente que intenta falsificar mensajes y reportar hechos de tales características.

Dado que WhatsApp se ha convertido en una de las herramientas más importantes para difundir noticias falsas y desinformación, al menos en países con una realidad política volátil, especialistas en seguridad en redes informáticas consideran que WhatsApp debería solucionar estos problemas, además del reenvío masivo de mensajes.