WhatsApp Web permite a los hackers tomar control de tu escritorio
Aunque en raras ocasiones son explotadas, los reportes de análisis de vulnerabilidades en WhatsApp se han convertido en algo frecuente en la comunidad de la ciberseguridad. El más reciente de estos reportes se refiere a múltiples fallas que podrían alterar algunos aspectos en la interfaz del usuario.
Empleando sus conocimientos en
JavaScript, el investigador Gal Weizman detectó múltiples vulnerabilidades en
el servicio de mensajería que podrían ser explotadas en escenarios reales,
exponiendo a los usuarios a serios riesgos, como el envío de enlaces maliciosos
o la inyección remota de código.
Cabe mencionar que el reporte de análisis de vulnerabilidades menciona que todas las fallas descubiertas por Weizman se encuentran en WhatsApp Web, la versión para escritorio del servicio de mensajería. Su explotación permitiría desplegar sofisticadas campañas de phishing, esparcir malware, e incluso algunas variantes de ransomware, poniendo en riesgo a millones de usuarios.
Una de las fallas más serias
permite evadir las medidas de seguridad de la plataforma para ejecutar
secuencias de comandos entre sitios (XSS). Al explotar esta vulnerabilidad, los
actores maliciosos pueden obtener permiso de lectura en el sistema de archivos
local del dispositivo objetivo para agregar enlaces o código malicioso a un
mensaje enviado por WhatsApp Web. La ejecución de estos ataques es posible con
sólo modificar el código JavaScript
de un mensaje antes de ser enviado.
Poco después, un portavoz de
WhatsApp mencionó que la compañía, propiedad de Facebook, ya ha recibido el
reporte, por lo que las fallas fueron corregidas poco después: “El
problema que abordamos en la más reciente actualización podría haber afectado a
miles de usuarios de la plataforma WhatsApp Web; agradecemos el reporte del
investigador de seguridad”.
Si bien esta falla ya ha sido
corregida, nuevas amenazas similares podrían aparecer en breve, por lo que los
especialistas en análisis de vulnerabilidades del Instituto Internacional de
Seguridad Cibernética (IICS) recomienda tener cuidado al interactuar con un
mensaje recibido vía WhatsApp Web que contenga el texto “javascript”,
pues es un claro indicador de actividad potencialmente maliciosa, especialmente
si es enviado de una cuenta desconocida.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.
