Con millones de usuarios en todo el mundo, WhatsApp es un objetivo muy jugoso para hackers, y eso es algo que estamos notando especialmente en el último año, con la cantidad de ataques que se han hecho públicos.
Es cierto que WhatsApp ya presume de medidas de seguridad muy solicitadas por los usuarios, como el cifrado punto a punto que permite encriptar la información de los mensajes; sin embargo, eso ha motivado que los hackers busquen otros métodos para saltarse esas protecciones.
Estos nuevos tipos de ataque son incluso más peligrosos, incluso permitiendo la instalación de malware en el dispositivo. Ahora la firma de seguridad PerimeterX ha publicado los resultados de su última investigación, en la que descubrieron un tipo de vulnerabilidad semejante.
Error en WhatsApp
El nuevo error permite a un atacante manipular el código de las aplicaciones de WhatsApp de Windows y Mac, usando la app de iOS para ello. Las versiones de escritorio de WhatsApp no funcionan de manera independiente, sino que tienen que estar asociadas a una cuenta que hayamos creado con la app móvil; los atacantes se aprovechan de eso para manipular mensajes y enlaces.
Estas vulnerabilidades afectan concretamente al sistema CSP (Content Security Policy), un estándar para evitar ataques tipo XSS (cross-site scripting); dicho de manera simple, estos ataques permiten inyectar código y secuencias en contenido confiable.
Por ejemplo, pongamos que recibimos un mensaje que nos lleva a Facebook; no nos podemos imaginar que al pulsar en el enlace estaremos dando permiso a un tercero para que ejecute código en nuestro sistema, pero eso es lo que permite esta vulnerabilidad.
Los investigadores crearon un tipo de mensaje semejante, que parece que dirige a la página web de Facebook; pero si nos fijamos en el enlace, veremos que en realidad redirige a una dirección acortada con bit.ly, a un servidor que no conocemos y que será el que instale el código malicioso en nuestro sistema. Es el tipo de detalle que pasará desapercibido incluso para los más cuidadosos.
Una vez que el atacante ha conseguido ejecutar código en nuestro ordenador, el resto es fácil; es capaz de ejecutar código malicioso en el sistema, tanto para descargar más malware como para obtener archivos de nuestro sistema. Por lo tanto, este tipo de ataque puede servir tanto para infectar equipos, como para espiar a los usuarios.
Cómo evitar el ataque
El error de WhatsApp está en usar una versión antigua de la plataforma Chromium para su app de escritorio; los investigadores han llamado la atención a la compañía, pidiendo que actualice el código para evitar este tipo de ataques.
En Windows y Mac, WhatsApp es una "webapp", básicamente una página web que ha sido adaptada para el escritorio; para funcionar, usa Chromium, la misma base en la que está basada Chrome y cada vez más navegadores como Edge. Según los investigadores, WhatsApp debería cuidar más esta app, actualizando siempre a la última versión de Chromium.
Todo esto supone que, si queremos evitar este ataque, tenemos que realizar dos pasos. Para empezar, tenemos que actualizar la app de escritorio de WhatsApp, para Windows y para Mac; y a continuación, tenemos que actualizar la app para iPhone de WhatsApp. Sólo con esos dos pasos podemos asegurarnos de que no sufriremos el ataque.