Es la noticia del día.

Los investigadores de Check Point Dikla Barda, Roman Zaikin y Oded Vanunu han descubierto una vulnerabilidad, FakeApp, que permite saltarse el cifrado de los mensajes, interceptar y manipular los mensajes enviados tanto en conversaciones privadas como de grupo.

¿Es grave? Sí. ¿Me afecta? Raro sería que no seas usuario de WhatsApp. ¿Qué puede pasar? Esta vulnerabilidad puede multiplicar los casos de engaños y estafas además de comprometer la seguridad de las personas que comparten datos sensibles a través de ella.

¿Cómo funciona FakeApp?

La vulnerabilidad consta de tres partes:

  1. Se puede editar el mensaje enviado de una persona para que el receptor crea que el emisor ha escrito mensajes distintos de los enviados por el mismo.
  2. Se puede utilizar la función de “citar” en una conversación de grupo para cambiar la identidad del remitente, incluso si esa persona no es miembro del grupo.
  3. Se puede enviar un mensaje a un miembro de un grupo de forma que parezca un mensaje del grupo pero, en realizad, sólo lo puede ver dicho miembro. En cambio, su respuesta será vista por todos los miembros del grupo. 

Aquí el video explicatorio, en inglés, de Check Point:

Por si esto fuera poco, los investigadores decidieron realizar ingeniería inversa sobre el cifrado de WhatsApp y se llevaron una sorpresa. Una vez que capturaban el tráfico “simplemente se lo envíaban a la extensión web que habían creado para descifrar todo el tráfico de WhatsApp“. También pueden volverlo a cifrar.

Esto se debe a que han descubierto que la clave pública se puede obtener  en la fase de generación de claves de WhatsApp Web antes de generar el código QR y, posteriormente, se toma el parámetro “secret” que envía el teléfono móvil a WhatsApp Web mientras el usuario escanea el código QR y ya se tienen la clave pública y privada de la sesión de WhatsApp.

La herramienta que han publicado se encuentra disponible en en GitHuby los detalles técnicos están disponibles en su blog.

¿Cómo puedo protegerme?

Mientras WhatsApp corrige la vulnerabilidad debemos:

  • Extremar las precauciones con todos los links que recibimos.
  • Utilizar el sentido común.
  • No enviar datos sensibles por la aplicación.

Bueno, esos consejos sirven para todos los servicios de Internet que uses. Úsalos siempre.