En Internet circulan muchos rumores que advierten de ataques de hackers a WhatsApp. La mayoría de ellos son una completa tontería, pero siempre hay algo de verdad en ellos. El libro técnico se aclara.
WhatsApp puede ser pirateada, pero no de la forma en que mucha gente piensa
Cómo hacen para poder hackear a usuarios de WhatsApp
Apenas hay un usuario de WhatsApp que no haya recibido antes una carta en cadena. A menudo los molestos mensajes masivos se utilizan para difundir noticias falsas o para estafas. TECHBOOK examina con detenimiento una noticia que circula regularmente por WhatsApp y advierte de un supuesto hacker. Aquí está el contenido del mensaje:
¡¡¡URGENTE!!! Por favor, dile a todas las personas de tu lista de WhatsUp que no acepten el contacto «Carlos Perez»! Se trata de un virus (a través de WhatsUp) que destruye todo el disco duro y destruye los datos. Si uno de tus contactos lo coge, también te afecta a ti, ¡porque pasa por toda la lista! Si el número 695 482 681 te llama, no contestes. Es un hacker y afectará a todos tus contactos! También ha sido confirmado esta mañana por EUROP1 y SAT1!
¿Son peligrosas las cadenas de mensajes?
Mensajes en cadena como éste han estado circulando por Internet durante años, detalles como el nombre – recientemente «Carlos Perez» – son cambiados una y otra vez. El mensaje advierte que si se añade el contacto, el smartphone se infectará con un virus. Pero, ¿qué es lo que realmente es cierto sobre las advertencias de la carta en cadena? Desmontemos el contenido pieza por pieza.
Este [el contacto «Carlos Perez»] es un virus (a través de WhatsUp) que destruye todo el disco duro y borra todos los datos.
Aquí ya se pueden ver los primeros indicios de que el remitente de la carta en cadena o bien tiene conocimientos técnicos muy limitados o bien está intentando deliberadamente crear miedo en el destinatario. Añadir un contacto por sí solo no puede propagar un virus a través de WhatsApp. Incluso la advertencia de que «todo el disco duro» sería destruido es una tontería. Es bien sabido que los teléfonos inteligentes no tienen discos duros, sino memoria flash, e incluso si un hacker obtuviera acceso total a ella, lo cual es muy poco probable, no puede simplemente borrarla por completo. Por otro lado, es muy probable que un hacker con acceso a la memoria «baje los datos».
Cadenas de mensajes que utilizan los hackers para espiar whatsapp
Si uno de tus contactos lo atrapa, también te afecta a ti, ¡porque se come su camino a través de la lista!
Aunque esta declaración es un puro disparate, en realidad hay un poco de verdad (no intencional) en ella. Un «virus» no se come la lista de contactos y, aunque lo hiciera, no hay forma de que pueda saltar de una cuenta de WhatsApp a otra. Sin embargo, lo que puede suceder es que un hacker coloque malware en el smartphone de uno de sus contactos y obtenga acceso a su lista de contactos. Esto les daría su número de teléfono conectado a WhatsApp, que podrían utilizar para futuros ataques.
Esta clase de ataques han sido confirmados en numerosas ocasiones por la guardia civil y la policía a través de las redes sociales.
Por supuesto, esto no podría estar más lejos de la verdad. Ni EUROP1 [probablemente significa «Europa 1»] ni SAT1 han reportado nunca nada parecido. TECHBOOK no pudo encontrar al menos ningún informe actual o pasado de estas fuentes.
Como puede ver, no hay por qué temer las tácticas de intimidación de esta carta en cadena de WhatsApp. No obstante, debe tener en cuenta que un ataque de hackers con WhatsApp es muy posible. Sin embargo, no como se describe en el mensaje.
Cómo de vulnerable es realmente WhatsApp
Aquí dejamos de lado el hecho de que WhatsApp también puede ser atacado mediante la descarga de malware de la App Store o de Internet. Porque esto puede suceder con prácticamente cualquier aplicación. En cambio, el enfoque está en cómo un atacante puede tener éxito al hackearte en un escenario similar al descrito en la carta en cadena. WhatsApp no sólo ha mostrado muchos fallos de seguridad en el pasado, sino que también sufre problemas de privacidad masivos que facilitan la infiltración del malware. El mero hecho de que cualquiera que tenga su número asociado a WhatsApp pueda realizar llamadas y enviar mensajes ofrece a los hackers muchas oportunidades.
Lea también: El escándalo de WhatsApp! Muy fácil de espiar para los hackers
A veces los atacantes acechan donde menos te lo esperas. Según Makeuseof.com, no fue hasta octubre que un investigador de seguridad encontró una vulnerabilidad en WhatsApp que permite a los hackers ocultar código malicioso en los GIF. Los GIF son las pequeñas imágenes en movimiento que muchos usuarios envían a través de WhatsApp. Si un hacker envía un GIF secuestrado a usuarios desprevenidos, éstos pueden acceder a todo el historial de chat, incluyendo fotos, vídeos, archivos e información de envío. Dado que las personas que no se han añadido como contactos también pueden enviar mensajes en WhatsApp, este peligro no es insignificante.
Facebook ha cerrado el agujero de seguridad y, desde la versión 2.19.244, WhatsApp para Android está protegido contra el ataque. Si todavía está ejecutando la versión 2.19.230 en un smartphone con Android 8.1 Oreo o Android 9 Pie, debería actualizarse lo antes posible.
Ataques en WhatsApp por llamada de voz
Otra forma en la que los hackers pueden piratear su sistema mediante WhatsApp es mediante llamadas de voz. Para este tipo de ataque, basta con llamar a su cuenta de WhatsApp. Ni siquiera tienes que responder a la llamada, sólo el intento de conexión es suficiente. El ataque se conoce como desbordamiento de búfer, que aprovecha una vulnerabilidad común en muchos dispositivos habilitados para Internet.
Esto implica la carga de datos corruptos en la memoria del búfer del dispositivo de destino hasta que se llene y el código malicioso se extienda a otras áreas de la memoria. Esto permite que incluso las áreas seguras se infecten con malware. En el pasado, este ataque fue utilizado para instalar el spyware «Pegasus» (reportado por Makeuseof.com), que los hackers utilizan para leer llamadas, mensajes, fotos y videos, por ejemplo, sin que el usuario lo note.
La vulnerabilidad está corregida en las versiones más recientes de WhatsApp. Los usuarios con la versión 2.19.134 o anterior en Android o la versión 2.19.51 en iOS deberían actualizarse a una versión más reciente lo antes posible.