Un análisis reveló una importante vulnerabilidad de WhatsApp. La popular aplicación de mensajería instantánea puede exponer qué sistema operativo (SO) ejecuta un usuario (Windows, iOS, Android…) y la información de configuración de su dispositivo, incluida la cantidad de dispositivos vinculados a la cuenta, lo que podría ser aprovechado por ciberdelincuentes para atacar a los usuarios.
El análisis fue realizado por investigadores de seguridad del fabricante de billeteras de criptomonedas Zengo, quienes anteriormente habían encontrado otra debilidad de seguridad en la app, específicamente en la funcionalidad ver una vez.
¿Cómo se origina esta vulnerabilidad de WhatsApp?
La forma cómo WhatsApp administra su configuración de múltiples dispositivos y los metadatos que transmite durante la comunicación entre emisor y receptor representan el origen del problema.
«Descubrimos que las diferentes implementaciones de WhatsApp generan el identificador de mensaje de manera diferente, lo que permite tomar huellas digitales para saber si proviene de Windows», dijo el cofundador de Zengo, Tal Be’ery, al medio especializado en tecnología The Register.
Be’ery detalló, a través de un post en Medium, cómo a cada dispositivo vinculado a una cuenta de WhatsApp (ya sea web o con sistema operativo macOS, Android, iPhone o Windows) se le asigna una clave de identidad única y persistente.
El inconveniente radica en que las características de esas claves varían para cada sistema operativo en el que se ejecuta WhatsApp:
- Se crea un identificador (código) de 32 caracteres para dispositivos Android
- Los iPhone usan un prefijo de 20 caracteres que va precedido de cuatro caracteres adicionales
- La aplicación de escritorio de WhatsApp para Windows usa un identificador de 18 caracteres
Be’ery sostiene que las diferentes calidades (longitudes) de los identificadores para las distintas plataformas implican que alguien que intente difundir malware a través de WhatsApp podría identificar el sistema operativo de los usuarios y atacar en consecuencia.
El cofundador de Zengo explicó que cuando se envía malware a un dispositivo es muy importante saber en qué sistema operativo se ejecuta, porque existen diferentes vulnerabilidades y diferentes exploits (que los ciberdelincuentes pueden utilizar a su favor).
Un atacante inteligente podría incluso mirar todas las identificaciones asociadas con un usuario, descubrir todos los sistemas operativos en los que accede a WhatsApp y elegir el más vulnerable para atacar, sugirió Be’ery.
¿Por qué es grave?
WhatsApp es la aplicación de mensajería más popular del mundo. Sus más de cinco mil millones de descargas y 2.4 mil millones de usuarios activos así lo certifican.
Su sistema de encriptado punto a punto es uno de sus puntos fuertes de seguridad. Sin embargo, diversos estudios han revelado que la aplicación solicita muchos datos de sus usuarios en comparación con Signal, por ejemplo, que solo pide el número de teléfono y el único metadato que guarda es la fecha de la última conexión.
La vulnerabilidad de WhatsApp descrita en esta nota permitiría que los ciberdelincuentes, una vez que conozcan el sistema operativo y el número de dispositivos conectados a una cuenta, tengan más opciones de enviar ataques “personalizados” a potenciales víctimas. De allí la gravedad de estos hallazgos.
Queda por ver qué acciones ejecutará Meta, empresa tecnológica dueña de WhatsApp, para dar solución a estas debilidades de seguridad que ponen en peligro a sus usuarios.
Continúa leyendo: Todo sobre la nueva tarjeta de perfil de Instagram