WhatsApp es un programa de mensajería popular y fácil de usar. Tiene algunas características de seguridad, como el uso de cifrado de extremo a extremo para mantener los mensajes privados. Sin embargo, los hacks dirigidos a WhatsApp podrían comprometer la privacidad de tus mensajes y contactos.
Aquí hay ocho formas de hackear WhatsApp.
1. Ejecución remota de código a través de GIF
En octubre de 2019, el investigador de seguridad Awakened reveló una vulnerabilidad en WhatsApp que permitía a los hackers tomar el control de la aplicación utilizando una imagen GIF. El hack funciona aprovechando la forma en que WhatsApp procesa las imágenes cuando el usuario abre la vista de galería para enviar un archivo multimedia.
Cuando esto sucede, la aplicación analiza el GIF para mostrar una vista previa del archivo. Los archivos GIF son especiales porque tienen múltiples marcos codificados. Esto significa que el código se puede ocultar dentro de la imagen.
Si un hacker enviara un GIF malicioso a un usuario, podría comprometer todo el historial de chat del usuario. Los hackers podrían ver a quién el usuario había estado enviando mensajes y qué habían estado diciendo. También podían ver los archivos, fotos y videos de los usuarios enviados a través de WhatsApp.
Las versiones de WhatsApp afectadas por la vulnerabilidad hasta la 2.19.230 en Android 8.1 y 9. Afortunadamente, Awakened reveló la vulnerabilidad de manera responsable y Facebook, que posee WhatsApp, parcheó el problema. Para mantenerte a salvo de este problema, debes actualizar WhatsApp a la versión 2.19.244 o superior.
2. El ataque de llamada de voz Pegasus
Otra vulnerabilidad de WhatsApp descubierta a principios de 2019 fue el hackeo de llamadas de voz de Pegasus.
Este ataque aterrador permitió a los hackers acceder a un dispositivo simplemente realizando una llamada de voz de WhatsApp a su objetivo. Incluso si el objetivo no respondía a la llamada, el ataque aún podría ser efectivo. Y es posible que el objetivo ni siquiera sepa que se ha instalado malware en su dispositivo.
Esto funcionó a través de un método conocido como desbordamiento de búfer. Aquí es donde un ataque pone deliberadamente demasiado código en un pequeño búfer para que «se desborde» y escriba código en una ubicación a la que no debería poder acceder. Cuando el hacker puede ejecutar código en una ubicación que debería ser segura, puede tomar medidas maliciosas.
Este ataque instaló una pieza de spyware más antigua y conocida llamada Pegasus. Esto permitió a los hackers recopilar datos en llamadas telefónicas, mensajes, fotos y videos. Incluso les permite activar las cámaras y micrófonos de los dispositivos para tomar grabaciones.
Esta vulnerabilidad se aplica a dispositivos Android, iOS, Windows 10 Mobile y Tizen. Fue utilizado por la empresa israelí NSO Group, acusada de espiar al personal de Amnistía Internacional y a otros activistas de derechos humanos. Después de la noticia del hackeo, WhatsApp se actualizó para protegerlo de este ataque.
Si ejecuta WhatsApp versión 2.19.134 o anterior en Android o versión 2.19.51 o anterior en iOS, debe actualizar su aplicación de inmediato.
3. Ataques de ingeniería social
Otra forma en que WhatsApp es vulnerable es a través de ataques de ingeniería social. Estos explotan la psicología humana para robar información o difundir información errónea.
Una empresa de seguridad llamada Check Point Research reveló uno de esos ataques que llamaron FakesApp. Esto permitió a las personas hacer un mal uso de la función de cita en el chat de grupo y alterar el texto de la respuesta de otra persona. Esencialmente, los hackers podrían plantar declaraciones falsas que parecen ser de otros usuarios legítimos.
Los investigadores podrían hacer esto descifrando las comunicaciones de WhatsApp. Esto les permitió ver los datos enviados entre la versión móvil y la versión web de WhatsApp.
Y desde aquí, podrían cambiar los valores en los chats de grupo. Entonces podían hacerse pasar por otras personas, enviando mensajes que parecían ser de ellos. También podrían cambiar el texto de las respuestas.
Esto podría usarse de formas preocupantes para difundir estafas o noticias falsas. A pesar de que la vulnerabilidad se divulgó en 2018, aún no había sido parcheada cuando los investigadores hablaron en la conferencia Black Hat en Las Vegas en 2019, según ZNet.
4. Extracción de Archivos Multimedia
El secuestro de archivos multimedia afecta tanto a WhatsApp como a Telegram. Este ataque aprovecha la forma en que las aplicaciones reciben archivos multimedia como fotos o videos y escriben esos archivos en el almacenamiento externo de un dispositivo.
El ataque comienza instalando malware oculto dentro de una aplicación aparentemente inofensiva. Esto puede monitorear los archivos entrantes de Telegram o WhatsApp. Cuando llega un archivo nuevo, el malware puede intercambiar el archivo real por uno falso. Symantec, la compañía que descubrió el problema, sugiere que podría usarse para estafar a personas o para difundir noticias falsas.
Hay una solución rápida para este problema. En WhatsApp, debes buscar en Configuración e ir a Configuración de Chat. A continuación, busque la opción Guardar en galería y asegúrese de que esté desactivada. Esto te protegerá de esta vulnerabilidad. Sin embargo, una verdadera solución para el problema requerirá que los desarrolladores de aplicaciones cambien por completo la forma en que las aplicaciones manejan los archivos multimedia en el futuro.
5. Facebook podría Espiar Chats de WhatsApp
En una publicación de blog, WhatsApp insinuó que, debido a que utiliza cifrado de extremo a extremo, es imposible que Facebook lea el contenido de WhatsApp:
«Cuando tú y las personas a las que envías mensajes usan la última versión de WhatsApp, tus mensajes se cifran de forma predeterminada, lo que significa que eres la única persona que puede leerlos. Incluso a medida que coordinemos más con Facebook en los próximos meses, sus mensajes cifrados se mantendrán privados y nadie más podrá leerlos. Ni WhatsApp, ni Facebook, ni nadie más.»
Sin embargo, según el desarrollador Gregorio Zanon, esto no es estrictamente cierto. El hecho de que WhatsApp use cifrado de extremo a extremo no significa que todos los mensajes sean privados. En un sistema operativo como iOS 8 y superior, las aplicaciones pueden acceder a archivos en un «contenedor compartido».»
Tanto las aplicaciones de Facebook como WhatsApp usan el mismo contenedor compartido en los dispositivos. Y aunque los chats se cifran cuando se envían, no necesariamente se cifran en el dispositivo de origen. Esto significa que la aplicación de Facebook podría copiar información de la aplicación de WhatsApp.
Para ser claros, no hay evidencia de que Facebook haya utilizado contenedores compartidos para ver mensajes privados de WhatsApp. Pero el potencial está ahí para que lo hagan. Incluso con el cifrado de extremo a extremo, es posible que tus mensajes no sean privados del ojo que todo lo ve de Facebook.
6. Aplicaciones de pago de Terceros
Se sorprendería de cuántas aplicaciones legales de pago han surgido en el mercado que solo existen para piratear sistemas seguros.
Esto podría ser hecho por grandes corporaciones que trabajan de la mano con regímenes opresivos para atacar a activistas y periodistas; o por ciberdelincuentes, con la intención de obtener su información personal.
Aplicaciones como Spyzie y mSpy pueden hackear fácilmente tu cuenta de WhatsApp para robar tus datos privados.
Todo lo que necesita hacer es comprar la aplicación, instalarla y activarla en el teléfono objetivo. Por último, puedes sentarte y conectarte al panel de control de tu aplicación desde el navegador web, y espiar datos privados de WhatsApp como mensajes, contactos, estado, etc. ¡Pero, obviamente, recomendamos que no se haga esto!
7. Clones falsos de WhatsApp
El uso de clones de sitios web falsos para instalar malware es una vieja estrategia de hacking que todavía implementan muchos hackers en todo el mundo. Estos sitios clon se conocen como sitios web maliciosos.
La táctica de hackeo ahora también se ha adoptado para irrumpir en los sistemas Android. Para hackear tu cuenta de WhatsApp, un atacante primero intentará instalar un clon de WhatsApp, que podría parecer sorprendentemente similar a la aplicación original.
Tomemos el caso de la estafa rosa de WhatsApp, por ejemplo. Un clon del WhatsApp original, afirma cambiar el fondo verde estándar de WhatsApp a rosa. Así es como funciona.
Un usuario desprevenido recibe un enlace para descargar la aplicación WhatsApp Pink para cambiar el color de fondo de su aplicación. Y a pesar de que realmente cambia el color de fondo de su aplicación a rosa, tan pronto como instale la aplicación, comenzará a recopilar datos no solo de su WhatsApp, sino también de todo lo demás almacenado en su teléfono.
8. WhatsApp Web
WhatsApp Web es una herramienta genial para alguien que pasa la mayor parte del día en una computadora. Proporciona la facilidad de acceso a dichos usuarios de WhatsApp, ya que no tendrán que levantar su teléfono una y otra vez para enviar mensajes. La pantalla grande y el teclado también proporcionan una mejor experiencia de usuario en general.
Sin embargo, aquí está la advertencia. Tan útil como la versión web, se puede usar fácilmente para hackear tus chats de WhatsApp. Este peligro surge cuando estás usando la Web de WhatsApp en el ordenador de otra persona.
Por lo tanto, si el propietario de la computadora ha seleccionado la casilla mantener mi sesión iniciada durante el inicio de sesión, su cuenta de WhatsApp permanecerá iniciada incluso después de cerrar el navegador.
El propietario de la computadora puede acceder a su información sin mucha dificultad.
Puedes evitar esto asegurándote de cerrar sesión en WhatsApp Web antes de irte. Pero como dicen, es mejor prevenir que curar. El mejor enfoque es evitar usar cualquier cosa que no sea su computadora personal para la versión web de WhatsApp por completo.
Manténgase al tanto de los problemas de seguridad en WhatsApp
Para obtener más información sobre si WhatsApp es seguro, debe actualizar su conocimiento de las amenazas de seguridad de WhatsApp.
Estos son solo algunos ejemplos de cómo se puede hackear WhatsApp. Si bien algunos de estos problemas han sido parcheados desde su divulgación, otros no, por lo que es importante mantenerse alerta.
Shaant es un escritor de Personal en MUO. Graduado en Aplicaciones Informáticas, utiliza su pasión por la escritura para explicar cosas complejas en un inglés sencillo. Cuando no está investigando o escribiendo, se le puede encontrar disfrutando de un buen libro, corriendo o saliendo con amigos.
Más de Shaant Minhas