WhatsApp tiene un grave problema de ciberseguridad y pone nuestra privacidad en riesgo

A pesar de ser una aplicación clave que usamos cada día, WhatsApp no es ni mucho menos perfecta. Podemos pasar por alto algunas funciones que tengas sus competidores, conscientes de que tarde o temprano ya llegarán, pero cuando los problemas son de seguridad, la cosa es mucho más alarmante.

A grandes rasgos, lo que se ha descubierto es que cualquiera que conozca tu número de WhatsApp, sin necesidad de que sea contacto tuyo, puede determinar si sólo estás utilizando la aplicación móvil, o sus aplicaciones web o de escritorio, lo que permite conseguir datos con los que llegar a localizar dónde puedes estar en cada momento.

El grave problema de WhatsApp

Se ha descubierto que la aplicación de mensajería que en España usan más de 30 millones de usuarios tiene un grave agujero de ciberseguridad. El hallazgo corre a cargo del investigador de seguridad israelí Tal Be’ery, quien ha descubierto que WhatsApp filtra información de identidad del cifrado de extremo a extremo de los dispositivos de las víctimas (dispositivo móvil + hasta 4 dispositivos vinculados) a cualquier usuario, por defecto, e incluso si está bloqueado y no está en contactos.

Monitorizando la información de identidad de estos dispositivos vinculados a un usuario a lo largo del tiempo puede permitir a los potenciales atacantes recopilar información útil y valiosa sobre la configuración de los dispositivos de sus víctimas y sus cambios (dispositivo reemplazado, agregado o eliminado).

Según cuenta este investigador, actualmente nada impide que los ciberatacantes más avanzados, o cualquier tipo de acosador pueda espiar a sus víctimas y reciban alertas sobre nuevos dispositivos que poseen y nuevas oportunidades de ataque. Por ejemplo, tendrían información avanzada sobre cuándo están usando la versión móvil, lo que podría indicar cuándo están fuera de casa y cuándo pasan a usar la versión web o de escritorio, indicando que ya están en el hogar.

Un riesgo para la privacidad

Los hallazgos de Tal Be’ery, como él mismo ha compartido en la red social X, han sido informados a Meta. Sin embargo, desde la empresa que dirige Mark Zuckerberg tampoco parecen haberse alertado demasiado con respecto a este agujero de seguridad. De hecho, su respuesta fue que funciona según lo diseñado.

5/ I had reported to @Meta @WhatsApp and their response was that it works as designed.
They are right, but their design is wrong. pic.twitter.com/mpX1r3HlOT
— Tal Be'ery (@TalBeerySec) January 17, 2024

Una de las soluciones que ve posible este investigador de seguridad sería que al menos la aplicación permitiese a los usuarios no exponer dichos detalles a usuarios que no están en su lista de contactos (como lo hacen con otras funciones como la foto de perfil, última vez en línea, etc.). Considera incluso que, si se lleva al extremo, los que no son contactos ni siquiera deberían saber si tienes WhatsApp instalado.

Sin embargo, parece que la compañía insiste en que su diseño y esta brecha de seguridad no son tan graves. El portavoz de Meta, Zade Alsawah, dijo a TechCrunch que la compañía recibió la investigación de Be’ery y concluyó que el diseño actual de la aplicación es justo lo que los usuarios quieren y esperan. “Antes, el teléfono tenía que estar en línea para recibir mensajes y eso presentaba limitaciones importantes para las personas. Con múltiples dispositivos, los usuarios pueden enviar y recibir sus mensajes personales a través de dispositivos de forma privada con cifrado de extremo a extremo, y esa es la dirección que seguiremos tomando”, dijo Alsawah en su comunicado.

Fuente: Medium.com | adslzone