WhatsApp es el cliente de mensajería más utilizado en todo el mundo. Mientras que durante mucho tiempo esta aplicación ha sido duramente criticada por su nefasta seguridad, tras la implementación del actual sistema de cifrado de extremo a extremo hace un año se ha ganado el respeto de muchos expertos de seguridad. No llega hasta el punto de ser tan segura como Signal o Matrix, pero sí cuenta con una seguridad a la altura de la importancia de la plataforma.
La autenticación de WhatsApp se basa, principalmente, en el número de teléfono. Cuando nos queremos conectar a los servidores de la plataforma, el cliente de WhatsApp envía el número de teléfono para, tras verificarlo, brindar acceso al usuario. Aunque esta no es la mejor forma de proteger ni la privacidad de los usuarios ni las correspondientes cuentas, es muy útil para que el usuario medio pueda utilizar de forma “segura” la plataforma sin tener que recordar contraseñas.
Cuando iniciamos la aplicación por primera vez, se verifica el número de teléfono a través de un SMS o una llamada de voz y, una vez autenticado, se guarda el token en el propio dispositivo para poder seguir autenticado en el servidor. Cuando cambiamos de dispositivo e iniciamos sesión en otro con el mismo número, se crea un token nuevo, invalidando el anterior (razón por la que no se puede iniciar sesión en dos dispositivos a la vez), y se repite el proceso anterior.
Como ya hemos dicho, los sistemas de autenticación de WhatsApp no son precisamente los mejores y, por ello, recientemente han descubierto una nueva forma de hackear WhatsApp y acceder a su historial de chats utilizando WhatsApp Web.
Hasta ahora, la única forma de hacerse con el control de WhatsApp era mediante complejos ataques a las redes móviles que brindaran al atacante de acceso y control sobre el número de teléfono, aunque, recientemente, han encontrado una nueva forma de hackear WhatsApp a través de WhatsApp web, la plataforma lanzada en 2015 que permite controlar el cliente de mensajería desde el PC.
Creando un falso login en WhatsApp Web podremos hackear WhatsApp desde el navegador
La forma de hackear WhatsApp a través del cliente del navegador es muy sencilla. Lo único que tenemos que hacer es engañar a la víctima para que escanee un código QR malicioso para autorizar el ordenador del atacante dentro del cliente de WhatsApp y poder conectarnos a WhatsApp Web y, con ello, acceder a todos los chats de la víctima.
De esta manera, enviando un código QR malicioso a la víctima, si esta lo escanea, tendremos acceso a todos sus WhatsApp.
Este método de hackear WhatsApp tiene varios inconvenientes:
- La víctima verá el equipo en la lista de dispositivos autorizados para usar WhatsApp Web.
- Si la víctima está usando WhatsApp Web e intenta conectarse el pirata, la víctima verá un aviso de que se está utilizando WhatsApp Web en otro sistema.
- Es necesario llevar a cabo un ataque de ingeniería social bastante complejo.
- El servidor de WhatsApp cambia constantemente el código, por lo que hay que ser rápidos para llevar a cabo el ataque.
Por el momento, no hay forma de protegerse de este tipo de ataque. Además, el código de demostración para llevar a cabo el ataque se encuentra disponible en GitHub, por lo que debemos extremar las precauciones ya que, probablemente, en los próximos días aumenten los ataques informáticos que buscan explotar este fallo a través de esta vulnerabilidad.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
