Cualquier plataforma conectada a Internet está expuesta al hacking, incluso si se implementan las prácticas de seguridad más recomendadas, aseguran expertos de un curso para hackear celulares. Hace un par de años, WhatsApp lanzó un mecanismo de autenticación de dos factores (2FA) para proporcionar una capa de seguridad adicional para sus usuarios.
Un grupo de investigadores reveló recientemente el hallazgo de una nueva vulnerabilidad en las versiones de WhatsApp para iOS y Android que, de ser explotada, podría permitir a los actores de amenazas obtener el código de acceso 2FA enviado por la compañía, el cual está almacenado en texto sin cifrar.
Cabe mencionar que esta no es la primera ocasión en la que se descubre una seria falla en la seguridad de la plataforma de mensajería, empleada por cientos de millones de personas en todo el mundo.
Acorde a los instructores del curso para hackear celulares, la única protección con la que cuenta este código es que está almacenado en un entorno sandbox, por lo que no es posible que aplicaciones de terceros puedan acceder a esta información, además de que la compañía no almacena este código en las copias de seguridad. No obstante, el hecho de que el código se almacene en texto sin cifrar es una deficiente práctica de seguridad.
A continuación, se muestra cómo WhatsApp almacena la contraseña de 2FA en texto simple. También es posible apreciar que los archivos son almacenados en un contenedor privado.
Los expertos del curso para hackear celulares señalan que esta clave 2FA también es visible en dispositivos Android rooteados, por lo que otras aplicaciones con permisos de root podrían acceder a este código.
Una aplicación de terceros que pudiera acceder a este código aún requeriría de la obtención de un código PIN de seis dígitos enviado al número de teléfono del usuario para comprometer completamente su cuenta, por lo que la posibilidad de explotar esta falla de seguridad con fines maliciosos es reducida de forma considerable.
A pesar de que los usuarios no están ante un peligro inminente, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a WhatsApp no almacenar esta información en texto sin cifrar para eliminar completamente cualquier riesgo para los usuarios y sus cuentas en la aplicación de mensajería.