Imagina que recibes un mensaje en WhatsApp con un enlace aparentemente inofensivo a ln.instagram.com. La sorpresa es que, según el investigador Itay Zukerman, existe una falla de seguridad en WhatsApp que permite que ese enlace no te lleve realmente a Instagram, sino a cualquier sitio que un atacante elija.

Todo comenzó cuando este buscaba una forma de hacer que la persona que recibe el mensaje realice una solicitud HTTP, básicamente, hacer clic en un enlace sin darse cuenta. 

Su idea inicial era aprovechar la función de vista previa de enlaces de WhatsApp, esperando que el enlace se representara dos veces: una por el remitente y otra por el receptor. Sin embargo, descubrió que solo se hacía una solicitud, la del remitente.

Luego, se dio cuenta de que si el receptor no mostraba el enlace por sí mismo, eso significaba que el remitente enviaba tanto el enlace como la vista previa. Aquí encontró la primera vulnerabilidad: la vista previa del enlace no coincidía con el enlace real. Pero esto no lo detuvo. Manipuló el mensaje para que el enlace y la vista previa fueran diferentes y, para su sorpresa, funcionó.

Descubre una vulnerabilidad en WhatsApp que pone en riesgo la seguridad de los enlaces

Ahora bien, quería ir más allá. No quería que el enlace real se mostrara en el mensaje, así que ideó una forma de "disfrazar" el texto del enlace. Recordando que algunos caracteres Unicode pueden cambiar la apariencia del texto, utilizó uno llamado U+202E, que altera la presentación del texto, mostrándolo en orden inverso. Pero eso no era suficiente; el enlace parecía horrible y nadie haría clic en él.

Así que se enfrentó el segundo problema: cómo hacer que el enlace pareciera legítimo. Creó una URL que, al invertirse, parecía dirigirse a Instagram, pero en realidad conducía a su propio blog. 

Hasta aquí parece algo inofensivo, pero es que esta vulnerabilidad podría permitir a los atacantes realizar ataques de phishing, engañando a la gente para que haga clic en enlaces que parecen seguros, pero que llevan a sitios maliciosos. 

Tal y como comenta el investigador al descubrir esta falla, la respuesta de WhatsApp y su empresa matriz, Meta, ha sido decepcionante, ya que no parecen tener intención de solucionar este problema de seguridad, así que es responsabilidad tuya ser consciente y no caer en la trampa.