¿Qué hay detrás de la falla de WhatsApp: revelan verdades desagradables?
Vulnerabilidad grave en la aplicación popular expuesta, pero ¿qué significa para los negocios?
WhatsApp ha admitido que una vulnerabilidad del tipo más grave se ha reparado recientemente después de haber sido explotada por actores de nivel nacional. La vulnerabilidad permitía la ejecución remota de código en aproximadamente 1.500 millones de dispositivos móviles en todo el mundo y no requería la interacción del usuario; los atacantes simplemente necesitaban realizar una llamada a dispositivos específicos para explotar la falla.
La compañía dijo a fuentes de los medios de comunicación que el ataque altamente sofisticado probablemente haya sido una "compañía privada que trabaja con los gobiernos en materia de vigilancia", y ha reportado el incidente al Departamento de Justicia de los EE. UU., Así como a los organismos de control de la UE.
WhatsApp ha sido probado utilizando la herramienta de seguridad gratuita ImmuniWeb 316 veces durante los últimos 12 meses, y en el último análisis se registraron no menos de seis errores de riesgo medio y siete errores de bajo riesgo de los 10 principales de OWASP. Quizás inevitablemente, las pruebas que usaron la herramienta de phishing ImmuniWeb encontraron que WhatsApp es un vector de ataque popular, con 279 entradas potenciales de phishing, 333 casos de ciberocupación potencial y 84 posibles problemas de tipificación en secuencia descubiertos.
Advertencia: fallas de WhatsApp reveladas.
"WhatsApp alienta a las personas a actualizarse a la última versión de nuestra aplicación, así como a mantener actualizado su sistema operativo móvil, para protegerse contra posibles ataques dirigidos y diseñados para comprometer la información almacenada en dispositivos móviles", dijo un portavoz a los periodistas.
"Trabajamos constantemente junto con los socios de la industria para proporcionar las últimas mejoras de seguridad para ayudar a proteger a nuestros usuarios", dijo.
WhatsApp también ha informado a la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) de una "vulnerabilidad grave a la seguridad" en su plataforma. "El DPC entiende que la vulnerabilidad puede haber permitido a un actor malintencionado instalar software no autorizado y obtener acceso a datos personales en dispositivos que tienen instalado WhatsApp", dijo el regulador en un comunicado.
El propietario de WhatsApp, Facebook, emitió un aviso CVE-2019-3568 y también anunció que la falla está parchada en la última versión de WhatsApp. Como se detalla en el CVE, el problema subyacente se informa como una "vulnerabilidad de desbordamiento del búfer en la pila de VOIP de WhatsApp que permite la ejecución remota de código a través de una serie de paquetes SRTCP especialmente diseñados y enviados a un número de teléfono de destino".
Aunque es de la máxima gravedad, la existencia de una falla de día cero en una aplicación popular ciertamente no es sin precedentes, aunque la participación del estado nacional no es tan común. Sin embargo, la escala de la base de usuarios es enorme e ilustra lo difícil que se ha vuelto una tarea para asegurar la empresa. Cuando los estados nacionales crean un poderoso malware entregado a través de fallas de día cero en las aplicaciones de nombres familiares, hemos visto un caos generalizado (como WannaCry) que está más allá de los recursos para prevenir, incluso de las empresas más importantes.
De hecho, muchos informes sobre la falla de WhatsApp identifican al Grupo NSO como el creador, una compañía de software israelí también conocida por crear y mantener Pegasus, un poderoso paquete de software espía. Pegasus se ha descubierto en miles de dispositivos de destino, incluidos miembros de la junta directiva de firmas de chips azules, pero también en dispositivos de activistas y trabajadores de ONG.
Ilia Kolochenko, CEO de ImmuniWeb dijo: "El simple hecho de que una vulnerabilidad de este tipo pueda explotarse de forma remota en una configuración predeterminada es extremadamente crítico y alarmante. Es un defecto de seguridad sin precedentes en términos de su potencial para ejecutar ataques dirigidos de alto perfil. WhatsApp es tan popular que prácticamente todo el mundo es una víctima potencial. Peor aún, hoy en día, el acceso al teléfono inteligente de alguien probablemente brinda acceso a información mucho más confidencial que el acceso a una computadora, por ejemplo. La capacidad de rastrear a la víctima en tiempo real, de escuchar el micrófono de un dispositivo y leer comunicaciones instantáneas es una mina de oro para los ciberdelincuentes.”
“Desde hace un tiempo ya circulaban rumores sobre este tipo de fallas en la seguridad, pero pocas personas los tomaron en serio. Todos los usuarios corporativos de WhatsApp deben lanzar de forma urgente los datos forenses en sus dispositivos móviles para verificar si se vieron comprometidos y sin autorización”.
"Creo que este tremendo incidente de seguridad causará un daño irreparable a la reputación de Facebook, ya que la gente está harta de ver que sus datos se venden, filtran y piratean. Las graves ramificaciones legales también son previsibles”.
En resumen, WhatsApp siempre iba a ser un objetivo muy apreciado por los atacantes, lamentablemente vale la pena invertir tiempo y esfuerzo en la caza de ataques de día cero. Prevenir cualquier impacto en la seguridad de la empresa es un gran desafío. ¿Ha probado sus aplicaciones corporativas y su sitio recientemente?
