Fallo de seguridad en WhatsApp Web permitiría controlar equipos a distancia

Fallo de seguridad en WhatsApp Web

Ya sabemos todos que el servicio de mensajería WhatsApp está disponible para smartphones y tablets, existen varios cientos de millones de personas que lo utilizan. Sin embargo, hace poco tiempo se ha puesto a disposición de los usuarios una versión “final” de WhatsApp para PC o dispositivos de escritorio.

Este servicio, conocido como WhatsApp Web, permite que quienes utilizamos WhatsApp podamos ver las conversaciones de la misma forma en nuestra mesa de trabajo, sin tener que estar pendientes del teléfono, lo cual es bueno. Hasta ahí, todo bien.

Fallo de seguridad en WhatsApp Web permite controlar equipos a distancia

[pullquote]WhatsApp web te permite hacer lo mismo que la versión de móvil: hablar, enviar archivos, enviar grabaciones de voz, localización, etc.[/pullquote]

Sin embargo, investigadores de seguridad de Check Point han descubierto un fallo grave en WhatsApp Web que podría permitir a cualquier hijo de vecino controlar nuestro ordenador.

Según el investigador Kasif Dekel, todo lo necesario para que un atacante sea capaz de controlar nuestro ordenador es enviarnos un contacto (conocido como vCard) modificado. Una vez lo abramos, se ejecutará un código malicioso que infectará el equipo.

Se ha puesto como ejemplo un mensaje que pretende simular los detalles de contacto de la actriz Angelina Jolie (alguno seguro estaría tentado de abrirlo :P).

Fallo de seguridad en WhatsApp Web

Desgranando el fallo de WhatsApp web

Para la demostración se ha utilizado una carga inocua (inofensiva) que solo muestra el mensaje “hackeado” en una ventanita emergente. Gracias a Dios (o a Zuckerberg, más bien) WhatsApp ha tomado cartas en el asaunto rápido, lanzando una versión parcheada sólo 6 días después del descubrimiento.

Aún así, los chicos de CheckPoint han decidido esperar 5 días adicionales para no comprometer en absoluto a ningún usuario y que todo el mundo tenga las actualizaciones.

Hay quienes deberían aprender de este ejemplo

Esta es la forma “responsable” de hacer las cosas. Aquí no nos casamos con nadie y siempre indicamos las buenas y malas prácticas de cada uno. Lo cierto es que muchos investigadores prefieren correr a las redes sociales a anunciar su descubrimiento, muchas veces anteponiendo su éxito personal a la seguridad de usuarios y empresas.

En este caso, sin embargo, nos quitamos el sombrero con la reacción. El equipo no ha desclasificado el fallo de seguridad hasta tener la certeza absoluta de que nadie podría explotar el error. Así, todos podemos seguir utilizando WhatsApp Web (o no) con total tranquilidad. De momento…

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.