La capacidad que tiene una persona para evitar que accedan intrusos a su ordenador o móvil acaba cuando la vulnerabilidad está en los sistemas que utiliza y sus buenas prácticas son inútiles. Este problema ha pasado en numerosas ocasiones con WhatsApp, una plataforma dada a ser víctima de ataques.
Pocas veces pinchamos en enlaces con mala pinta o nos llega malware a través de chats o correos y, sin embargo, parece que nuestra información privada siempre se encuentra cerca de ser hackeada. El mes pasado, Pavel Durov, creador de Telegram, publicó un duro texto en donde argumentaba que a WhatsApp le conviene ser vulnerable para mantener su modelo negocio. A esta provocación, desgraciadamente, le acompañan los sucesos que vienen sacudiendo a la empresa los últimos meses.
Una de las últimas noticias ha sido la estrategia utilizada por una compañía israelí de espionaje para acceder a los móviles de los usuarios e infectarlos. Todo esto con una simple llamada de WhatsApp.
Un ataque con objetivos concretos
La empresa NSO Group es conocida por desarrollar software de espionaje y vigilancia con el objetivo de vendérselo a los gobiernos. Su intención a la hora de saltarse las medidas de seguridad de la aplicación perteneciente a Facebook fue acceder a los teléfonos de personas de influencia política, como activistas o disidentes políticos.
A pesar de los usos que se le pudo dar a la vulnerabilidad localizada en WhatsApp, según el Financial Times, solamente se práctico con esos objetivos. Aunque la puerta de acceso a todos los móviles con WhatsApp estaba abierta.
Una vulnerabilidad demasiado común
Existen varios motivos que han levantado las suspicacias de periodistas y activistas, pero el principal es que el fallo se diese en una área tan común y usada en el pasado como el desbordamiento de búfer.
Explicado en su forma más simple, se puede decir que el desbordamiento de búfer se da cuando llegan un número masivo de datos que no pueden ser recogidos por el búfer encargado de mantenerlos a salvo. Como si fuese un vaso, la llegada de demasiado líquido desborda el recipiente y los datos alcanzan otras áreas de memoria que transforma en vulnerables y pasan a ser controladas por el atacante.
Esta estrategia se hizo posible gracias a las llamadas VoIP a través de WhatsApp, que empezaron a recibir demasiadas opciones e información del móvil que llamaba y acabaron siendo controlados sin que el usuario supiese que había recibido una llamada, quedase constancia ni pudiese hacer nada.
Según el experto en criptografía Karsten Nohl, esto se debe a que el cifrado y la complejidad de WhatsApp ofrecen una estructura demasiado complicada, lo que acaba por facilitar que se encuentren vías de entrada en el sistema. A pesar de ser una tecnología poco novedosa y que ya debería estar controlada, el propio sistema de WhatsApp muestra demasiadas debilidades.
Solución y comentarios de WhatsApp
Según Facebook, esta vulnerabilidad fue detectada en Mayo del 2019. Ya se ha solucionado, para que no vuelva a ocurrir. No ha trascendido cómo detectaron el error y tampoco han querido aclarárselo a los medios que les han consultado, solo informaron de que trabajan en el modo de evitar que cualquier móvil pueda ser hackeado de nuevo mediante una llamada de teléfono.
Facebook contactó con grupos de Derechos Civiles y con el Departamento de Comercio de Estados Unidos para dar aviso sobre lo ocurrido. Según sus palabras, este ataque reunía “las características de una empresa privada que se sabe que trabaja con los gobiernos para entregar software espía».
Poco más, han querido informar a la compañía. La información llega de forma paulatina, aunque muchos se temen que este caso todavía no se haya cerrado del todo.