Skip to main content

Un exploit de WhatsApp permite que alguien envíe mensajes falsos en tu nombre, y no tiene arreglo

Bulos sobre WhatsApp

08/08/2019 - 17:48

Estos días se está celebrando la conferencia hacker Black Hat USA 2019, y están saliendo a luz cosas muy interesantes... y preocupantes. Un grupo de investigadores de seguridad llamado Check Point Research ha mostrado un fallo de WhatsApp que permite enviar mensajes falsos en nombre de otra persona, así como editarlos para cambiar su contenido. Pese a que informaron del exploit a WhatsApp hace un año, la compañía de Facebook ha dicho que "no es práctico arreglarlo". No tiene arreglo...

Check Point Research ha encontrado dos formas de enviar mensajes falsos en nombre de otra persona en WhatsApp. El primer método consiste en usar la opción Quote (Responder) en un chat en grupo para cambiar la identidad del autor del mensaje, incluso aunque no sea miembro del grupo.

El segundo exploit permite alterar el texto de un mensaje de respuesta de otra persona, por cualquier otro que nosotros queramos. Aunque el mensaje original no se altera si otra persona lee solo la réplica manipulada, se tragará el engaño. Pese a tratarse de dos errores sumamente graves, WhatsApp ha dicho que no lo va a arreglar.

Los mayores bulos sobre WhatsApp que jamás habrás escuchado

Check Point Research asegura que comunicó el preocupante exploit a WhatsApp hace un año, pero la compañía les ha dicho que "no es práctico" arreglar estos fallos. La verdadera razón es que los mensajes están encriptados, y aunque los miembros dentro de un chat pueden verlos, WhatsApp no, por eso no puede controlar si alguien está haciendo algo malicioso dentro de un chat.

Facebook ha enviado un comunicado a The Next Web, explicando lo que pasa: "Revisamos este tema hace un año y es falso sugerir que hay un vulnerabilidad en la seguridad de WhatsApp. El escenario que tenemos aquí es la versión móvil de la manipulación del reenvío de emails para que parezca que han sido enviados por otra persona. Si interviniéramos ahí tendríamos que hacer WhatsApp menos privado: habría que guardar información sobre el origen de los mensajes".

¿Y cómo se puede enviar mensajes falsos en nombre de otra persona en WhatsApp? Puedes verlo en este vídeo:

Básicamente hay que hackear la versión web de WhatsApp para poder leer los mensajes desencriptados del móvil cuando se conecta a la versión web a través de un código QR.

Una vez que se ha entrado en el chat los hackers pueden enviar mensajes en nombre de otro, o editar los mensajes quoteados, para cambiar su contenido.

No es una manipulación sencilla porque al parecer hay que conectarse con el móvil a la versión web, pero si esto lo hace un atacante que haya sido admitido en un chat en grupo, la amenaza es real. Y al parecer, no tiene arreglo...