Redes sociales y seguridad

Vulnerabilidades de Whatsapp: ¿Conversaciones privadas o grupales?

El éxito de Whatsapp es innegable. La aplicación de mensajería instantánea que Facebook compró en octubre de 2016, hoy amasa más de 1.5 mil millones de usuarios, distribuidos en 180 países. Su usuario promedio accede alrededor de 23 veces al día a la aplicación; por lo que para la mayoría de las personas que la utilizan, esta se ha convertido en una herramienta básica de su rutina.

Gracias a estas impresionantes cifras, Whatsapp es una plataforma por la que a diario transita una cantidad monstruosa de información. Dando pie a que se extiendan todo tipo de información a través de la aplicación.

Rumores, estafas y noticias falsas son frecuentemente distribuidas por ella. Y a pesar de los esfuerzos hechos para asegurar las conversaciones de sus usuarios, aún existen vulnerabilidades. Las que personas malintencionadas podrían explotar para sus propios fines.

Respuestas inseguras

El equipo de Check Point Research (CPR), a través de un proceso de Responsible Disclosure; el cual consiste en informar al equipo de desarrollo de una aplicación acerca de alguna vulnerabilidad, le comunicó a Whatsapp que habían descubierto ciertas debilidades en su plataforma.

Una de éstas permite utilizar la opción de responder un mensaje en un chat grupal para intervenir la “respuesta”. Y así cambiar la identidad de la persona que lo envía, o incluso el contenido del mensaje mismo.

Según la investigación de CPR, a pesar de que Whatsapp encripta cada mensaje, este método no es infalible. Utilizando un poco de ingeniería inversa, llegaron a la conclusión de que Whatsapp utiliza Protobuf2 protocol para encriptar sus mensajes.

Con esto, lograron desencriptar la información que se envía en cada conversación. Ya que al utilizar la vulnerabilidad reconocida en las respuestas de los chats, consiguieron alterar tanto la identidad de la persona que envía el mensaje; como el contenido mismo de éste.

Ante esto, es importante resaltar que el contenido original NO es modificado. Solamente se altera la vista previa del mensaje que vemos en la respuesta. Pero tomando en cuenta la cantidad de mensajes que puede tener un chat grupal, no deja de ser peligrosa esta modificación.

Expuesto en un segundo

Otra de las vulnerabilidades que fueron reportadas, resulta un poco más preocupante. El equipo de CPR descubrió que, a través de la intervención de las respuestas, un mensaje enviado a través de un chat grupal, se puede hacer pasar como un mensaje privado, para un miembro del grupo.

Al responder este mensaje, todos los participantes del chat grupal pueden ver la respuesta. Y a pesar de que se pueda prevenir este “engaño”, revisando la fuente original, nadie podrá evitar que los integrantes del chat grupal vean la respuesta del falso “mensaje privado”.

Whatsapp reconoció lo dañino que podía resultar esta vulnerabilidad, por lo que ya fue corregida. Sin embargo, aún es posible alterar el contenido de las respuestas en los chats grupales.

CPR sigue haciendo hincapié en que todas estas vulnerabilidades representan un peligro para el mundo de hoy, donde Whatsapp es un medio en el que las personas toman decisiones importantes. Y que almacena información personal de miles de personas.

Así lo hemos podido verificar al enterarnos de conversaciones políticas y casos de corrupción, gracias a filtraciones en esta aplicación.