Con una aplicación tan popular como lo es WhatsApp resulta lógico que sea el objetivo de ataques, robos de información y propagación de noticias falsas. Cientos de millones de usuarios diarios, miles de millones de mensajes, fotografías, vídeos… Y un pastel de datos tan tremendamente goloso que resulta complicado de proteger. ¿Tiene WhatsApp alguna vulnerabilidad? CheckPoint ha descubierto que sí.

El proveedor de soluciones de seguridad CheckPoint ha analizado los protocolos de conexión de WhatsApp encontrando una vulnerabilidad que la firma tacha como «grave». Gracias a dicho fallo cualquiera podría alterar las conversaciones privadas y también los chats en grupo. Hace falta ciertos requisitos y el atacante debe tener contacto con los usuarios de las conversaciones, pero no por ello deja de ser preocupante.

CheckPoint ha publicado sus descubrimientos, y el GitHub con la aplicación que ha utilizado para explotar la vulnerabilidad, en un extenso artículo en su blog. Previamente alertó a WhatsApp, que hizo caso omiso de la advertencia. Gracias a la vulnerabilidad se pueden realizar tres tipos de ataques en pos de confundir a los usuarios.

WhatsApp permite interceptar y alterar los mensajes enviados

Antes de empezar, CheckPoint ya comenta que el contenido de los mensajes está cifrado de extremo a extremo y, por ello, no resulta posible leer lo escrito si se capturan las cadenas enviadas. La vulnerabilidad se encuentra en el protocolo usado para desencriptar los datos: teniendo acceso a las llaves privadas de encriptación pueden alterarse los mensajes.

El proceso para capturar las llaves implica que el atacante debe encontrarse en el chat o conocer a la persona con la que va a chatear. Como decíamos, los mensajes van encriptados de extremo a extremo y ni WhatsApp puede leer el contenido. Eso sí: capturando las llaves privadas de una sesión web el atacante puede alterar las conversaciones y desinformar a los involucrados a su antojo.

CheckPoint ha definido tres supuestos muy claros en los que se puede aprovechar la vulnerabilidad detectada:

• Cambiar la identidad de quien envía el mensaje. Utilizando la opción de citar resulta posible alterar el nombre de quienes envían los mensajes, incluso aunque no pertenezcan a la conversación.
• Cambiar el mensaje de una respuesta. Con este ataque resulta posible cambiar cualquier mensaje de una respuesta para que los demás crean que el usuario realmente lo dijo.
• Enviar un mensaje privado y que la respuesta aparezca como pública. De esta manera se puede confundir a cualquier miembro de la conversación para que crea que está respondiendo un mensaje privado cuando en realidad lo hace de forma pública.

Los tres ataques tienen un denominador común: engañar y confundir a los usuarios de la conversación. Según asegura CheckPoint, la vulnerabilidad de WhatsApp funciona a la perfección para extender noticias falsas y desinformación. A nivel personal quizá no parezca tan grave, pero sí podría serlo en grupos y chats utilizados por organismos, por ejemplo. Sobre todo ahora que WhatsApp Business está en pleno despegue.

Recordemos que la vulnerabilidad no permite en ningún caso la lectura y desencriptación de los datos cifrados: siempre se necesitará acceso a la conversación y/o a los contactos. CheckPoint ha publicado la aplicación que usó para las pruebas en su GitHub.