WhatsApp tendría una falla de seguridad que permite que la información sobre los ajustes de los dispositivos vinculados se filtre para otras personas.
La plataforma de mensajería contaría una brecha, que según el investigador Tal Be’ery, expone los datos sobre cuántos y en qué dispositivos se utiliza la cuenta.
Aunque algunas personan prefieran no compartir esta información por privacidad, la aplicación podría estar revelándola sin su consentimiento, abarcando desde el teléfono principal hasta otros dispositivos como tabletas o computadoras donde se tenga activada la cuenta de WhatsApp.
El experto en protección digital indicó que el sistema de seguridad de WhatsApp conocido como E2EE muestra la cantidad de dispositivos que una persona está usando.
Esto ocurre porque, al enviar un mensaje, el dispositivo de quien lo envía crea una clave de seguridad distinta para cada aparato que tiene la persona que va a recibir el mensaje.
Es decir, por mensaje enviado se crean diferentes códigos de seguridad para cada aparato al que va a llegar el contenido. Además, menciona que esta información se puede ver sin complicación alguna desde un ordenador.
Usando las funciones para desarrolladores de Google Chrome, se puede examinar el detalle de una sesión de WhatsApp Web, lo que permite descubrir datos que no son evidentes, como las claves de seguridad creadas para cada contacto.
Si aparecen varias claves asociadas a un mensaje, significa que esa persona está usando WhatsApp en más de un dispositivo con su número.
No obstante, el hecho de que estas claves se vean no implica que el cifrado de extremo a extremo, que protege las conversaciones, esté comprometido. Dicho cifrado sigue siendo efectivo, pero la existencia de múltiples claves revela cuántos dispositivos están vinculados a la cuenta de WhatsApp.
Al aplicar el procedimiento mencionado, los atacantes tienen la capacidad de verificar de forma pasiva los datos de los dispositivos de los usuarios de WhatsApp.
De esta manera, pueden descubrir si los usuarios cuentan con dispositivos adicionales e identificar cualquier cambio en la información de esos dispositivos al observar constantemente esos datos.
Con esa información, los atacantes pueden elegir la estrategia más fácil y decidir atacar el dispositivo adicional antes que el principal, debido a que estos dispositivos suelen ser más vulnerables.
Además, pueden personalizar sus ataques enviando código malicioso a los dispositivos móviles principales, mientras que a los navegadores o dispositivos secundarios envían mensajes que no levantan sospechas.
Finalmente, estos atacantes tienen la posibilidad de identificar si las víctimas han cambiado de teléfono móvil o computadora. Esto les permitiría lanzar nuevos ataques o tomar ventaja de cualquier vulnerabilidad que pueda tener la nueva plataforma añadida por el usuario.
“Tal vez un acosador podría deducir que estoy en casa o no, dependiendo del dispositivo que haya usado”, señaló Harlo Holmes, directora de seguridad de la información y de seguridad digital de la Fundación para la Libertad de Prensa.
El especialista sugiere que para solucionar este problema de privacidad de forma integral, es necesario hacer ajustes en el protocolo de cifrado de extremo a extremo (E2EE) que utiliza WhatsApp.
Be’ery habría informado a Meta sobre sus descubrimientos el 9 de enero pasado, pero la empresa, propietaria de WhatsApp, no habría considerado que sean fallos en la programación de la aplicación.
Se dice que Meta cree que estas cuestiones estarían relacionadas con la manera en la que está diseñado el protocolo de seguridad y, al parecer, no planean realizar cambios en la app.
Mientras no se realicen cambios en el protocolo E2EE de WhatsApp, se recomienda como medida de precaución desvincular y cerrar sesión en la aplicación cada vez que se deje de usar un dispositivo complementario como un computador o tablet.