Skip to main content

Así funciona una falla crítica de WhatsApp que puede tomar tus archivos

¿Cómo funciona una falla crítica de WhatsApp que puede robarte tus datos?

WhatsApp ha estado en la mira de los expertos en los últimos meses, no solo por la grave vulneración mediática que sufrió Jeff Bezos, sino que también por reportes que indican varias vulnerabilidades durante 2019.

Es justamente una de esas fallas del año pasado, descubiertas en el mes de agosto, la que permitía que el servicio de mensajería accediera a tus archivos de Windows o Mac si estabas usando la versión web.

Recommended Videos

Tras el descubrimiento de la vulnerabilidad por parte de la gente de Checkpoint, el experto en javascript, Gal Weizman, se dedicó a investigar este asunto de seguridad, y mostró interesantes conclusiones de ese estudio, como por ejemplo, que la versión web de la plataforma de mensajería está hecha con Electron, una herramienta que permite crear apps basadas en webs, lo que además es un estándar bastante recurrente como código para otras plataformas.

Además, Electron tiene su base en Chromium, el motor de Google Chrome el cual, como cualquier otro software, tiene problemas de seguridad.

Lo primero que descubrió Weizman con esos antecedentes es que, «Al usar la web de WhatsApp, puedo encontrar la línea de código donde se forma el objeto que contiene los metadatos del mensaje, manipularlo y luego dejar que la aplicación continúe en su flujo natural de envío de mensajes, creando así mi mensaje al pasar por alto el mecanismo de filtrado de la interfaz de usuario».

Después descubrió, tal como ocurrió en el hackeo de Bezos, que al insertar un enlace de una dirección web, se podía manipular el objetivo final, es decir, redireccionar a cualquier sitio que yo quisiera, con un disfraz y una dirección que parecía la real encima: «Uno puede manipular fácilmente las propiedades del banner antes de enviarlo al receptor».

Pantalla de ejemplo vulneración whatsapp
Imagen utilizada con permiso del titular de los derechos de autor

Luego usando javascript, lograba insertar el código malicioso XSS.

«Afortunadamente para WhatsApp, los navegadores basados ​​en Chromium agregaron un mecanismo de defensa contra los javascript:URI justo cuando encontré esta vulnerabilidad. Desafortunadamente para WhatsApp, en otros navegadores como Safari y Edge, esta vulnerabilidad todavía estaba abierta».

Finalmente introdujo una forma de vulnerar el Content Security Policy (CSP) de WhatsApp, que es otra capa de seguridad.

Vulneración whatsapp
Imagen utilizada con permiso del titular de los derechos de autor

Las conclusiones de Gal Weizman tras hacer esto por su cuenta fueron:

  1. Si su aplicación utiliza banners de vista previa enriquecidos y esos banners están diseñados en el lado de envío, su filtrado en el lado de recepción debe ser perfecto. No puede permitir que se carguen URL extrañas en el lado receptor sin asegurarse de que sean legítimas.
  2. Las reglas de CSP son súper importantes y podrían haber evitado gran parte de este desastre. Si las reglas de CSP estuvieran bien configuradas, la potencia obtenida por este XSS habría sido mucho menor. Poder evitar la configuración de CSP le permite a un atacante robar información valiosa de la víctima, cargar cargas útiles externas fácilmente y ¡mucho más!
  3. Si va a utilizar Electron, DEBE asegurarse de que se actualice con cada actualización de Chromium. Y esta es tan importante: las actualizaciones de Chromium no son solo nuevas características interesantes, en la mayoría de las actualizaciones de Chromium, se están reparando vulnerabilidades graves. Cuando se actualiza Chromium, tu aplicación basada en Electron también debe actualizarse, de lo contrario, dejarás a tus usuarios vulnerables a vulnerabilidades graves sin ningún motivo.
Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Ya puedes probar la función de Razer que te permite transmitir tus juegos de PC en dispositivos móviles
PC Remote Play

Anunciada originalmente en el CES en enero, la nueva plataforma PC Remote Play de Razer ya se ha lanzado oficialmente. Diseñado para permitirle tomar prestada la potencia de procesamiento de su PC de escritorio mientras juega en un dispositivo separado, el servicio es compatible con teléfonos inteligentes, tabletas, dispositivos portátiles para juegos de PC con Windows, computadoras portátiles e incluso otras PC de escritorio.

En cuanto a los sistemas operativos, necesitarás Windows 10 u 11 en tus PC o en dispositivos móviles, iOS 18 o Android 14 y superiores. También puede emparejar su dispositivo con cualquier controlador compatible con iOS o Android, o con cualquier mouse y teclado. Si utilizas uno de los mandos Kishi Ultra de Razer, también te beneficiarás de una elegante retroalimentación háptica.

Leer más
WhatsApp presenta una gran actualización de abril 2025: conoce todas las novedades
WhatsApp

WhatsApp está oficializando los últimos cambios que ha estado realizando en su plataforma en los últimos días y que tienen diversas dimensiones, desde los chats grupales, pasando por transcripción de mensajes de audio, hasta llamadas.

Algunas de estas modificaciones ya se habían realizado hace algunas semanas y días atrás, pero ahora ya están disponibles en casi todas las versiones y rincones del mundo.

Leer más
WhatsApp cerca de revolucionar la privacidad en sus chats
WhatsApp

¿Tienes ese amigo en tu chat grupal que no puede guardar un secreto para salvar su vida? WhatsApp te está dando una solución a ese problema con la "privacidad avanzada del chat", una nueva función que se está probando actualmente y que te permite bloquear a otras personas para que no exporten chats o guarden automáticamente fotos y otros medios que les envíes sin tu consentimiento.

WABetaInfo informó el lunes que el interruptor para la nueva función de privacidad del chat se detectó en la última versión beta de la aplicación para Android e iOS durante el fin de semana. La idea de la "privacidad avanzada del chat", que funciona tanto para chats individuales como grupales, es brindar a sus usuarios un mejor control sobre la información que comparten con cualquier persona con la que estén chateando para reducir el riesgo de fugas accidentales, intercambio de datos no autorizado y archivo de mensajes fuera del chat sin su conocimiento.

Leer más