Cuidado con dónde haces clic: este fallo de WhatsApp permite que un atacante te engañe con los enlaces
Getty/ComputerHoy
- Un reciente descubrimiento revela una vulnerabilidad en WhatsApp que podría permitir a los atacantes crear enlaces engañosos, poniendo en riesgo la seguridad de los usuarios al dirigirlos a sitios maliciosos.
- Este fallo, combinando técnicas de clickjacking y enlaces disfrazados, podría conducir a ataques de phishing.
- Google DeepMind hace historia con una IA que ha resuelto un antiguo e imposible problema matemático.
Imagina que recibes un mensaje en WhatsApp con un enlace aparentemente inofensivo a ln.instagram.com. La sorpresa es que, según el investigador Itay Zukerman, existe una falla de seguridad en WhatsApp que permite que ese enlace no te lleve realmente a Instagram, sino a cualquier sitio que un atacante elija.
Todo comenzó cuando este buscaba una forma de hacer que la persona que recibe el mensaje realice una solicitud HTTP, básicamente, hacer clic en un enlace sin darse cuenta.
Su idea inicial era aprovechar la función de vista previa de enlaces de WhatsApp, esperando que el enlace se representara dos veces: una por el remitente y otra por el receptor. Sin embargo, descubrió que solo se hacía una solicitud, la del remitente.
Luego, se dio cuenta de que si el receptor no mostraba el enlace por sí mismo, eso significaba que el remitente enviaba tanto el enlace como la vista previa. Aquí encontró la primera vulnerabilidad: la vista previa del enlace no coincidía con el enlace real. Pero esto no lo detuvo. Manipuló el mensaje para que el enlace y la vista previa fueran diferentes y, para su sorpresa, funcionó.
Descubre una vulnerabilidad en WhatsApp que pone en riesgo la seguridad de los enlaces
Ahora bien, quería ir más allá. No quería que el enlace real se mostrara en el mensaje, así que ideó una forma de "disfrazar" el texto del enlace. Recordando que algunos caracteres Unicode pueden cambiar la apariencia del texto, utilizó uno llamado U+202E, que altera la presentación del texto, mostrándolo en orden inverso. Pero eso no era suficiente; el enlace parecía horrible y nadie haría clic en él.
Así que se enfrentó el segundo problema: cómo hacer que el enlace pareciera legítimo. Creó una URL que, al invertirse, parecía dirigirse a Instagram, pero en realidad conducía a su propio blog.
Hasta aquí parece algo inofensivo, pero es que esta vulnerabilidad podría permitir a los atacantes realizar ataques de phishing, engañando a la gente para que haga clic en enlaces que parecen seguros, pero que llevan a sitios maliciosos.
Tal y como comenta el investigador al descubrir esta falla, la respuesta de WhatsApp y su empresa matriz, Meta, ha sido decepcionante, ya que no parecen tener intención de solucionar este problema de seguridad, así que es responsabilidad tuya ser consciente y no caer en la trampa.
Redactora de Tecnología
Redactora de Tecnología, especializada en inteligencia artificial y ciberseguridad.
Otros artículos interesantes:
- Qué es IP Logger, cómo funciona y por qué jamás deberías abrir este tipo de enlaces
- Modo Ninja de WhatsApp: cómo salir de un grupo sin que nadie se entere
- LG gram Pro: poco más de un kilo para el portátil más potente
Conoce cómo trabajamos en Computerhoy.