La app, que pertenece a Facebook, tiene cerca de 1.500 millones usuarios activos que cada día intercambian unos 65.000 millones de mensajes.
Por eso resulta inquietante que una nueva vulnerabilidad pueda poner en peligro las conversaciones que ahí tenemos.
Checkpoint, una reconocida empresa de ciberseguridad, anunció este jueves que logró detectar una falla de WhatsApp, a la que llamaron FakesApp (app de falsedades, en inglés).
El hallazgo de Checkpoint llega solo días después de que WhatsApp anunciara medidas para combatir las noticias falsas que circulan por los grupos, como por ejemplo poner límites a la opción de reenvíos de mensajes.
También llega menos de una semana después de que se anunciara WhatsApp Negocios, una versión de pago de la app diseñada para empresas que necesitan comunicarse con sus clientes.
Las fallas
Según Checkpoint, su investigación les permitió identificar tres vulnerabilidades que permitirán a personas con intereses dañinos interceptar y manipular mensajes que se envían tanto en conversaciones privadas con en grupos.
Estas fallas podrían convertirse en una amenaza, ya que permiten facilitar la creación y difusión de noticias falsas, rumores y fraudes, con el agravante de que el receptor del mensaje piense que viene de una persona conocida o confiable.
Los mensajes de WhatsApp viajan encriptados, es decir, solo los puede ver quien reciba el mensaje. Ni si quiera WhatsApp puede verlos.
Los ingenieros de Checkpoint, sin embargo, dicen que lograron desencriptar los mensajes y a partir de ahí detectaron tres “posibles métodos de ataque” para “engañar” a los usuarios.
Según su investigación, un atacante que domine estos métodos podría:
1. Cambiar el nombre de alguien que envió un mensaje dentro de un grupo, incluso si la persona no es miembro del grupo. Por ejemplo, en un grupo Juan podría enviar un mensaje haciéndose pasar por Pedro. O de repente puede aparecer un mensaje enviado por un tal José, al que nadie en el grupo conoce.
2. Alterar la respuesta de alguien a un mensaje. Cuando alguien recibe un mensaje, puede editar el contenido de ese mensaje. Como lo explica Checkpoint, “esencialmente es poner palabras en su boca”.
3. Enviar un mensaje privado dentro de un grupo, con la apariencia de que es un mensaje público que puede ver todo el grupo. Ejemplo: dentro del grupo José le envía un mensaje a Juan. Juan lee mensaje y cree que todos los demás también recibieron el mensaje, cuando realmente solo él lo está viendo. Cuando Juan responda, su respuesta si será vista por todos, lo que causará, como mínimo, una confusión, porque nadie sabrá de qué está hablando.
Checkpoint dice que le avisó de estas fallas a WhatsApp.