Los investigadores de Check Point Dikla Barda, Roman Zaikin y Oded Vanunu han descubierto una vulnerabilidad, FakeApp, que permite saltarse el cifrado de los mensajes, interceptar y manipular los mensajes enviados tanto en conversaciones privadas como de grupo.
¿Es grave? Sí. ¿Me afecta? Raro sería que no seas usuario de WhatsApp. ¿Qué puede pasar? Esta vulnerabilidad puede multiplicar los casos de engaños y estafas además de comprometer la seguridad de las personas que comparten datos sensibles a través de ella.
¿Cómo funciona FakeApp?
La vulnerabilidad consta de tres partes:
- Se puede editar el mensaje enviado de una persona para que el receptor crea que el emisor ha escrito mensajes distintos de los enviados por el mismo.
- Se puede utilizar la función de “citar” en una conversación de grupo para cambiar la identidad del remitente, incluso si esa persona no es miembro del grupo, suplantando así su identidad en dicho grupo.
- Se puede enviar un mensaje a un miembro de un grupo de forma que parezca un mensaje del grupo pero en realizad sólo puede ser visto por el respectivo integrante del grupo en disputa. En cambio, su respuesta será vista por todos los miembros del grupo.
Aquí el video explicatorio, en inglés, de Check Point:
Por si esto fuera poco, los investigadores decidieron realizar ingeniería inversa sobre el cifrado de WhatsApp y se llevaron una sorpresa. Una vez que capturaban el tráfico se lo enviaban a la extensión web que habían creado para descifrar todo el tráfico de WhatsApp al igual como volverlo a cifrar.
Esto se debe a que han descubierto que la clave pública se puede obtener en la fase de generación de claves de WhatsApp Web antes de generar el código QR y, posteriormente, se toma el parámetro “secret” que envía el teléfono móvil a WhatsApp Web mientras el usuario escanea el código QR y ya se tienen la clave pública y privada de la sesión de WhatsApp.
La herramienta que han publicado está disponible en GitHub y los detalles técnicos se encuentran en su blog.
¿Cómo puedo protegerme?
Mientras WhatsApp corrige la vulnerabilidad debemos:
- Extremar las precauciones con todos los enlaces que recibimos.
- Utilizar el sentido común.
- No enviar datos sensibles por la aplicación.
Bueno, esos consejos sirven para todos los servicios de Internet que uses. Úsalos siempre.