Whatsapp anunció con bombos y platillos que desde 2016 usarían un sistema de cifrado de extremo a extremo para proteger las conversaciones de los usuarios dentro de la aplicación de mensajería instantánea.
Telegram, su competencia y otra de las app líderes en ese sector, ofrece incluso un sistema de encriptado y autodestrucción para las conversaciones de los usuarios que tengan información que requiere mayor seguridad.
Dichas encriptaciones buscan que los mensajes enviados puedan ser leídos solo por el remitente y destinatario.
El problema, es que dichos sistemas de encriptación podrían ser usados para piratear los mensajes de los usuarios debido a una falla descubierta por la compañía estadounidense de seguridad informática Check Point Software Technologies.
La falla permitiría vulnerar la confidencialidad de los mensajes y piratear las cuentas de los usuarios a través de la versión web de ambos sistemas que son un ‘espejo’ de todos los mensajes que se reciben a través de la aplicación en el smartphone.
Esta vulnerabilidad, si se explota, puede permitir a los atacantes tomar completamente las cuentas de los usuarios en cualquier navegador, acceder a las conversaciones personales y de grupo de las víctimas. Incluso tener acceso total a las fotos, videos y otros archivos compartidos dentro de la aplicación, hasta su lista de contactos.
Esto significa que los atacantes podrían potencialmente descargar sus fotos, videos, archivos y enviar mensajes a su nombre, exigir rescate e incluso hacerse cargo de las cuentas de sus amigos.
¿Cómo funciona?
Según los investigadores, la explotación de esta vulnerabilidad comienza con una foto con código malicioso enviada por el atacantante (dicho archivo puede modificarse dependiendo del usuario para que se le haga atractivo abrirlo). Una vez el usuario cliquea, abre el archivo, y el código permite al atacante acceder a almacenamiento de información de Whatsapp y Telegram.
Dado que los mensajes se cifran sin ser validados por WhatsApp y Telegram, en afán de resguardar la seguridad, no tenían acceso al contenido y no había manera de veficar que el contenido no tuviese un software malicioso.
El riesgo potencial de la falla consta en que el atacante podía enviar el archivo malicioso a todos los contactos de la víctima y generar una infección en cadena, y un ataque potencialmente extendido a través de las redes WhatsApp y Telegram.
Check Point precisó en un comunicado que alertaron a las compañías sobre la falla desde el 7 de marzo y las compañías ya repararon el problema.
Para remediarlo, los dos servicios 'validan de aquí en más el contenido enviado justo antes de que sea cifrado, lo que permite bloquear el virus'.
A los usuarios de WhatsApp y Telegram que deseen asegurarse de que están utilizando la última versión, se les recomienda reiniciar el navegador donde tengan el acceso a la aplicación.
Oded Vanunu, director general de Check Point, aseguró:
