Bug de WhatsApp permitía a los hackers acceder a tu cuenta ¡Alerta!

Un investigador de seguridad en el Proyecto Cero de Google descubrió un error extraño en WhatsApp. Este permitía a los piratas informáticos tomar el control de la aplicación; si solo conocían tu número de teléfono. Todo lo que tenían que hacer era hacerte una videollamada en WhatsApp y hacer que respondieras.

Aunque el error de WhatsApp se reveló el martes, la investigadora de Google, Natalie Silvanovich, lo descubrió; y lo informó a la compañía de Facebook en agosto.

Cómo el bug de WhatsApp te hizo vulnerable a los ataques

El error de WhatsApp se ha corregido ahora en las versiones de iOS y Android de la aplicación. Natalie Silvanovich explicó en Chromium cómo podáis perder el control de tu cuenta al tomar una videollamada en WhatsApp de un mal actor. Natalie lo describió como un «error de corrupción de memoria en la implementación de videoconferencia que no es WebRTC de WhatsApp». Hace que el teléfono se bloquee a los pocos segundos de recibir la videollamada en WhatsApp.

Ella reveló el error de WhatsApp al público solo después de que la compañía lo solucionó a través de una actualización de software. Silvanovich escribió en un informe de error que la corrupción del montón podría ocurrir cuando la aplicación WhatsApp «recibe un paquete RTP con formato incorrecto». El error afecta solo a las versiones de Android e iOS de WhatsApp; porque usan el Protocolo de transporte en tiempo real (RTP) para las videollamadas. La Web de WhatsApp no ​​se ve afectada porque se basa en WebRTC para las videollamadas.

El investigador de Google también compartió un código de prueba de concepto e instrucciones para reproducir el ataque de piratería. El error de WhatsApp se corrigió en los teléfonos Android el 28 de septiembre; y para los teléfonos iOS el 3 de octubre a través de una actualización. La compañía de mensajería dijo en un comunicado a ZDNet que «se preocupa profundamente por la seguridad de nuestros usuarios». Trabaja con investigadores de seguridad de todo el mundo para garantizar que el servicio «siga siendo seguro y confiable».

WhatsApp le dijo a ZDNet que no encontró ninguna evidencia de hackers que exploten este error para atacar a otros usuarios. Alentó a las personas a actualizar su aplicación a la última versión para corregir el error de WhatsApp. Con más de mil millones de usuarios activos, WhatsApp es una plataforma lucrativa para que los hackers realicen ataques.

La videollamada en WhatsApp funciona desde mucho tiempo. Introdujo videollamadas grupales con hasta cuatro personas hace un par de meses. Las videollamadas grupales funcionan incluso con conexiones de red lentas; lo cual es importante porque la mayoría de los usuarios de WhatsApp se encuentran en países emergentes como India y Brasil, donde la conectividad a Internet no es tan fuerte. El video grupal y las llamadas de voz están encriptadas de extremo a extremo.

Los hackers también usan el truco del correo de voz para controlar su WhatsApp

A principios de este mes, la agencia israelí de seguridad cibernética envió una alerta de seguridad a nivel nacional sobre un nuevo método de hackeo de WhatsApp. Se trata de aprovechar las bandejas de entrada de correo de voz mal aseguradas. La técnica fue descubierta hace aproximadamente un año por un desarrollador israelí; pero los hackers comenzaron a usarla ampliamente en los últimos meses.

La agencia de seguridad cibernética señaló que la mayoría de los usuarios de correo de voz a menudo no cambian la contraseña predeterminada de su cuenta; lo que significa que su contraseña sigue siendo 1234 o 0000. Un atacante podría usar el sistema de correo de voz para hackear su cuenta de WhatsApp. El pirata informático ingresaría el número de teléfono de la víctima a la que está tratando de dirigirse; esto al instalar una nueva cuenta de WhatsApp en su propio teléfono.

Ya que WhatsApp enviará la contraseña de un solo uso al número de teléfono del usuario legítimo (al que el hacker no tiene acceso), el atacante ingresará la OTP incorrecta. Después de varios intentos incorrectos de OTP, el servicio de mensajería le mostrará la opción de usar la verificación de voz. WhatsApp realizará una llamada de voz al usuario legítimo para informarle el código de verificación. Si ese usuario no contestó la llamada, la OTP terminará en su correo de voz. El pirata informático podría acceder a su correo de voz para acceder al código de verificación; y luego piratear su cuenta de WhatsApp.

Facebook ha estado en el centro de numerosos problemas de seguridad desde el año pasado. Justo cuando el escándalo de Cambridge Analytica fue el mayor uso indebido de los datos de Facebook, la compañía reveló recientemente que se filtraron datos privados de más de 50 millones de usuarios.

:)