WhatsApp desestima vulnerabilidades detectadas por Check Point Research

CheckPoint ha revelado vulnerabilidades en WhatsApp, que la empresa de mensajería instantánea no reconoce como tales.

Investigadores de Check Point Research han detectado vulnerabilidades en la aplicación propiedad de Facebook, que harían posible para desconocidos manipular mensajes privados y grupales.

Los investigadores mencionan tres ejemplos concretos de lo que denominan vulnerabilidades en el sistema. El primero de ellos consiste en la funcionalidad de citar elementos en una conversación, lo que haría posible modificar la identidad del autor de un mensaje enviado anteriormente, incluso simulando la participación de un usuario que no es parte del grupo. Según Check Point, también es posible citar a usuarios no existentes.

La segunda situación, definida como vulnerabilidad por Check Point, es la capacidad de modificar el texto de respuestas o comentarios enviados por otros usuarios.

La tercera situación es la posibilidad de enviar un mensaje grupal, que solo puede ser visto por uno de los participantes en el grupo. Sin embargo, si el destinatario responde, todo el grupo verá la respuesta.

Los investigadores de Check Point han escrito un análisis técnico detallado de las supuestas vulnerabilidades, que habrían sido detectadas al revertir el algoritmo de cifrado de WhatsApp. El análisis está disponible en este enlace.
En el siguiente video se demuestran las vulnerabilidades.

WhatsApp habría sido notificada de las situaciones detectadas por Check Point, sin que hasta ahora haya decidido modificarlas.

Por ahora tampoco hay indicaciones de que las vulnerabilidades reportadas por Check Point Research hayan sido aprovechadas en situaciones reales. A juicio de la empresa de seguridad los usuarios dependen de la integridad de los mensajes, por lo que recomienda a WhatsApp tomar medidas para evitar las manipulaciones descritas.

WhatsApp, por su parte comenta que no se trata de vulnerabilidades o errores. En lugar de ello, indica que el sistema está diseñado para funcionar de esa forma.

Carl Woog, portavoz de WhatsApp, declaró a New York Times que la posibilidad de cambiar el texto citado en un mensaje equivale a la posibilidad de cambiar el texto citado en un correo electrónico. A jucio de Woog, las implicaciones en materia de privacidad serían formidables si el sistema tuviera que verificar que cada texto citado no ha sido modificado.
Woog concluye que la información de Check Point Research no es lo suficientemente relevante como para iniciar acciones concretas. Esto se debe a que la mayoría de los mensajes ocurren entre dos usuarios y que, en general, los grupos están constituidos por personas que se conocen entre sí. Por lo tanto, la posibilidad de que alguien infiltre un grupo es mínima, en opinión de WhatsApp.

Ilustración: captura, Check Point Research.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022