Año negro: todos los fallos de seguridad de WhatsApp en 2019

Año negro: todos los fallos de seguridad de WhatsApp en 2019

Alberto García

2019 ha sido uno de los peores años para WhatsApp. La aplicación de mensajería cuenta con 1.500 millones de usuarios, pero ese gran número de usuarios no se traduce en una férrea seguridad que proteja nuestros mensajes. Tanto es así, que hasta Pavel Durov, creador de Telegram, les ha acusado de introducir las vulnerabilidades a propósito por las presiones recibidas por gobiernos y agencias de espionaje de todo el mundo. Para hacernos una idea de la gravedad del asunto, vamos a recopilar todas las vulnerabilidades que ha sufrido WhatsApp este año, tanto en iOS como en Android.

Mayo de 2019: una llamada puede hackear tu móvil

El primer episodio de 2019 arranca el 14 de mayo, cuando se publica una gravísima vulnerabilidad (CVE-2019-3568) en WhatsApp, siendo probablemente la peor que ha sufrido la aplicación. Este fallo fue aprovechado por NSO Group, una empresa israelí de ciberseguridad, para desarrollar un spyware que permitía espiar a cualquier persona con una simple llamada. Esta vulnerabilidad fui incluida dentro de su herramienta Pegasus, la cual venden a gobiernos y agencias de todo el mundo, aunque tienen la decencia de hacer «excepciones» si detectan que van a usarse para vulnerar los derechos humanos.

whatsapp vulnerabilidades 2019

Así, sólo con recibir la llamada ya se abría la puerta a instalar el malware, y lo único que quedaba de registro era la llamada perdida de un desconocido que podíamos ignorar. La vulnerabilidad fue usada para hackear a objetivos concretos, incluyendo a defensores de derechos humanos, periodistas, disidentes, diplomáticos y miembros de gobiernos de todo el mundo. En total se vieron afectadas 1.400 personas, según confirmó la propia WhatsApp.

Versión que soluciona el fallo en Android: 2.19.134

Julio de 2019: modificar fotos antes de que las veamos

En julio también se descubrió un fallo que afectaba a WhatsApp y a Telegram, y tenía que ver con la forma en la que se gestionan los archivos en Android. Mientras que cada app tiene su sandbox aislado en la memoria interna y no pueden «ver» otras carpetas, en la microSD sí tienen total libertad para ver y modificar datos.

Así, un malware en Android puede modificar los archivos almacenados en la memoria, pudiendo modificar una foto de WhatsApp antes de que la veamos en la aplicación. El ataque se considera como Media File Jacking, y podría modificar datos importantes de documentos como facturas o cualquier documento enviado.

El fallo no ha sido parcheado de momento porque es asunto de Google arreglarlo en Android.

Agosto de 2019: los mensajes de WhatsApp pueden manipularse

El fallo en concreto no es nuevo, sino que ya se conocía desde el año pasado, y que permitía cambiar mensajes de los chats, convertir mensajes privados en públicos, y modificar la identidad de quien envíe los mensajes.

whatsapp

En agosto dos de esos fallos seguían todavía presentes, motivo por el cual los incluimos en la recopilación. Los dos que seguían funcionando eran los de manipular mensajes y los de cambiar el identificador del emisor. El del emisor fue parcheado en septiembre, y del otro no hay todavía noticias, donde todavía pueden modificarse mensajes poniendo palabras que no han sido escritas por una persona, o cambiar la identidad del usuario al citar un mensaje suyo como «cita».

Octubre de 2019: un GIF da acceso a todos los archivos de tu móvil

En octubre, otra nueva vulnerabilidad (CVE-2019-11932) fue publicada. Para que un atacante la aproveche tan sólo necesita crear y enviar un GIF malicioso para ejecutar una vulnerabilidad de ejecución de código remoto (RCE). Con ella, el atacante sólo necesita enviarlo por WhatsApp o por otro método desde fuera de la app. Si se hacía desde dentro de la app, el ataque no funcionaba.

Una vez se recibía el GIF, se aprovechaba la vulnerabilidad para ejecutar código de forma remota. El ataque sólo funcionaba en Android 8.1 y 9.0.

Versión que soluciona el fallo en Android: 2.19.244

Noviembre de 2019: un vídeo podía hackearte el móvil

En noviembre, una nueva vulnerabilidad (CVE-2019-11931) permitía hackear WhatsApp usando un archivo de vídeo en formato MP4. Muchos afirmaron que este nuevo fallo era el que sustituía al de la llamada como puerta trasera para permitir a gobiernos y agencias de espionaje el acceso a cualquier móvil que quisieran.

Para poder aprovecharse de este fallo, el atacante tan sólo tenía que enviarnos un archivo en formato MP4. Si el archivo se descargaba en nuestro móvil, se generaba una corrupción de la memoria y se generaba una especie de ataque DDoS. El resultado es que un atacante podía robarnos archivos y espiar nuestro móvil de manera remota.

Versión que soluciona el fallo en Android: 2.19.274

Versión que soluciona el fallo en iOS: 2.19.100

Diciembre de 2019: un mensaje hace que se cuelgue la app y te obliga a restaurar

La última vulnerabilidad descubierta ha sido publicada este mismo mes de diciembre, donde es posible colgar la aplicación a cualquier usuario que esté en un grupo. A través de WhatsApp Web, Chrome y un servidor remoto creado con Python, es posible modificar el nombre del participante de un grupo a algo que no sea un número, lo cual hace que la aplicación se confunda y entre en un bucle continuo de cuelgues.

image5-1

La única manera de solucionar el fallo, en el caso de verte afectado, es reinstalar la aplicación y restaurar un backup que tuvieras anterior. En el caso de no tenerlo, perderás todos tus mensajes.

Versión que soluciona el fallo en Android: 2.19.258

¿Introduce WhatsApp estas vulnerabilidades a propósito?

Pavel Durov, CEO de Telegram, ha criticado duramente a WhatsApp desde hace años, pero en especial durante este 2019. El motivo es que Telegram no ha tenido ninguna vulnerabilidad grave a nivel de seguridad en toda su existencia, mientras WhatsApp ha tenido decenas. En sus primeros años podía tener sentido, pero actualmente tienen todo el capital de Facebook detrás, y es prácticamente imposible que puedan ser tan descuidados como para haber introducido sin querer fallos como el del archivo MP4 o el de la llamada.

Por ello, Pavel Durov ha acusado a WhatsApp de colaborar con gobiernos ofreciéndoles acceso a estas puertas traseras. Uno de los argumentos en los que se apoya es el hecho de que Telegram está prohibida en Rusia y en Irán porque Durov no les quiso ceder las claves de cifrado. Sin embargo, WhatsApp no está prohibido allí a pesar de que utiliza cifrado de extremo a extremo.

En definitiva, lo mejor que puedes hacer es tener WhatsApp actualizado al día, lo cual por suerte hacen las tiendas de iOS y Android. Por desgracia, esto no es garantía de que vamos a estar protegidos, ya que es posible que ahora haya una nueva vulnerabilidad presente en la app de la que no seamos conscientes.