Un fallo recién descubierto en la popular app de mensajería WhatsApp permite manipular los mensajes, tanto los enviados a un grupo como a una conversación privada. La firma de Seguridad Check Point ha sido quien ha descubierto y revelado esta vulnerabilidad en la aplicación, que permitiría a los ciberdelincuentes interceptar y alterar los mensajes enviados.
Una situación comprometida, que no solo puede poner a un atacante en una posición privilegiada, manipulando la información, sino que los investigadores apuntan a que también puede ser usada para crear noticias falsas o difundir estafas.
Tres vectores de ataque
Por el momento los estudios realizados sobre la vulnerabilidad apuntan a tres posibles ataques que podrían ser realizados aprovechándose de ese fallo.
Por un lado, cambiar la respuesta de una persona, para manipularlas a vista de terceros. Por otro lado, citar en una conversación de grupo una respuesta que parezca que provenga de otra persona o empresa. Y por último, enviar un mensaje a un miembro de un grupo de forma individual, de manera que su respuesta sí sea al grupo en conjunto, pudiendo ser usado por ejemplo para forzar la revelación de secretos.
La compañía ha difundido el siguiente vídeo en el que desarrollan el ataque para comprobar su funcionamiento.
WhatsApp y las fake news
La aplicación de mensajería propiedad de Facebook ha tenido problemas con la propagación de noticias falsas desde sus comienzos. Para intentar aportar una solución y frenar esta tendencia, recientemente han incorporado a su última actualización una nueva función que muestra claramente cuándo un mensaje ha sido reenviado.
A principios de 2018, la app contaba con más de 1.500 millones de usuarios, más de mil millones de grupos y 65.000 millones de mensajes son enviados cada día. Además, la compañía anunció recientemente el lanzamiento de WhatsApp Business, específicamente pensado para las empresas, por lo que estas vulnerabilidades pueden potenciar las estafas.
WhatsApp Business: la versión para negocios de la aplicación ya está aquí (y es gratuita)