Los hackers de WhatsApp todavía tienen acceso a millones de móviles.

A principios de semana, WhatsApp anunció que la app había sido hackeada, y que el grupo israelí NSO Group podía robar datos del móvil simplemente haciendo una llamada a través del spyware Pegasus. Hasta el propio creador de Telegram aprovechó para criticar que la compañía introduce esas vulnerabilidades a propósito como puertas traseras. WhatsApp parcheó el fallo con nuevas versiones de la app lanzadas esta semana, pero millones de usuarios todavía son vulnerables.

Se estima que cientos de millones de móviles con WhatsApp todavía se pueden hackear

El problema radica en que no todo el mundo actualiza la aplicación de WhatsApp con frecuencia, a pesar de que éstas se actualizan siempre solas sin interacción del usuario. Así lo ha revelado una investigación realizada por Wandera. Esta empresa gestiona la seguridad de los móviles de empresas como Rolex, Deloitte o General Electric, y tiene una base de datos de un millón de móviles de trabajadores de esas y otras empresas, de los cuales el 30% tienen instalado WhatsApp.

Con esto, tenemos una muestra bastante significativa de 300.000 dispositivos para ver cuántos tienen instalada la última versión de WhatsApp, y las cifras asustan. Según afirman, el 80,2% de los móviles con iOS de esa muestra no estaban actualizados a versiones recientes que subsanasen ese fallo de seguridad. En el caso de Android, la cifra es inferior, bajando hasta el 55,4% de dispositivos que no habían actualizado y seguían siendo vulnerables.

Uno de los clientes de la empresa, cuyo nombre no ha desvelado, tiene 5.000 dispositivos que son vulnerables al hackeo y robo de datos, incluyendo muchos privados relacionados con la propia empresa. Cualquier empresa que contratase los servicios de NSO Group podía hacer uso de la vulnerabilidad e instalar el spyware desarrollado por la compañía para robar los datos con sólo realizar una llamada, y no era necesario ni siquiera coger la llamada para ser infectado.

WhatsApp no ha avisado a sus usuarios del hackeo de manera directa

¿Qué podría hacer WhatsApp? Muchísimo más de lo que ha hecho hasta ahora. La compañía no ha notificado a los usuarios de manera directa en ninguno de los casos, y lo único que ha hecho ha sido emitir un comunicado a la prensa. Ni en Twitter (con 2,7 millones de seguidores), ni en Facebook (con 31 millones de seguidores), ni en su blog ni en la Google Play Store ni en la App Store se ha notificado a los usuarios de que instalasen la nueva versión para estar protegidos. De hecho, en la App Store lo único que han puesto entre las novedades es que los stickers se vean en las notificaciones. WhatsApp tiene en muy baja estima a sus usuarios si se cree que prefieren actualizar la app para ver stickers en las notificaciones y no para evitar te hackeen hasta la lista de la compra.

I find WhatsApp’s description of their latest update hilarious. It’s all YAY STICKERS and leaves out “now it’s a bit harder for governments to spy on you using terrifying software”. Also: “secure”. #Pegasus pic.twitter.com/UTuhht1F6c
— lisa van wyk (@swimlittlefish) 15 de mayo de 2019

WhatsApp está trabajando actualmente en tener un canal propio y verificado, al igual que tiene Telegram para comunicar novedades, changelogs o cualquier mensaje que quieran comunicar a los usuarios. Este sería un método ideal para informar a los usuarios de que actualicen de inmediato, pero actualmente la app no usa ninguna vía directa con ellos.

Por tanto, hacemos lo que WhatsApp no hace de manera directa: actualizad de inmediato WhatsApp para evitar que puedan hackearos. Es casi imposible saber si os han hackeado, ya que si recibimos una llamada, una vez hackeado el móvil pueden borrar la notificación y no dejar rastro.

WhatsApp Messenger desde