Este fallo permite interceptar y manipular los mensajes enviados en un grupo o conversación privada.

Check Point, proveedor especializado en ciberseguridad, revela una vulnerabilidad en WhatsApp, descubierta por sus investigadores, que permite a los ciberdelincuentes interceptar y manipular los mensajes enviados en un grupo o conversación privada. Al hacerlo, los atacantes se colocan en una posición privilegiada, no solo para conseguir pruebas a su favor, sino también para crear y difundir desinformación.

La vulnerabilidad hasta el momento permite tres posibles ataques:

1. Cambiar una respuesta de alguien para poner palabras en su boca que no ha dicho. En este primer escenario, las palabras de una de las partes son manipuladas por el atacante para proporcionar una respuesta que podría beneficiarlo en gran medida.
2. Citar un mensaje en respuesta a una conversación grupal para hacer que parezca que proviene de una persona que ni siquiera es parte del grupo. En este contexto, los estafadores pueden difundir información errónea sobre un determinado producto para causar un gran daño a una empresa.
3. Enviar un mensaje a un miembro de un grupo que parece ser un mensaje de grupo, pero solo se envía a este miembro. Sin embargo, la respuesta del miembro se enviará a todo el grupo. En este escenario, se puede manipular a las personas para que revelen secretos que de otra forma no revelarían.

En el siguiente video, podemos ver cómo estos ataques podrían desarrollarse de manera real.

WhatsApp con las noticias falsas

A principios de 2018, la aplicación de mensajería, actualmente propiedad de Facebook, contaba con más de 1.500 millones de usuarios, más de mil millones de grupos y 65 mil millones de mensajes enviados todos los días. Además, WhatsApp también tiene planes para implementar funcionalidades adicionales para las empresas que les ayuden a hacer negocios y administrar el soporte al cliente a través de la aplicación. Las vulnerabilidades descritas anteriormente hacen que las potenciales oportunidades para estafar abunden.

Debido a su propia naturaleza, al ser una manera fácil y rápida de comunicarse, WhatsApp ya ha estado en el centro de gran variedad de estafas. Desde los falsos premios de supermercados y aerolíneas hasta la manipulación de elecciones, los actores de amenazas nunca se cansan de buscar formas de manipular a los usuarios desprevenidos.

De hecho, la capacidad de ingeniería social puede tener efectos realmente negativos si se aplica a gran escala. En Brasil, se difundieron rápidamente rumores mediante WhatsApp sobre los peligros de recibir la vacuna contra la fiebre amarilla, la misma que podría haber detenido una epidemia del virus mortal durante su ataque de 2016, que infectó a 1500 personas y mató a casi 500.

Más reciente aún, el mes pasado, los crueles rumores, también difundidos a través de WhatsApp, provocaron una avalancha de linchamientos y asesinatos de víctimas inocentes en la India.

WhatsApp también está asumiendo un papel cada vez más central en las elecciones, especialmente en los países en vías de desarrollo. A principios de este año, nuevamente en India, WhatsApp se utilizó para enviar mensajes, algunos de los cuales eran completamente falsos.

En última instancia, la ingeniería social trata de engañar al usuario y manipularlo para llevar a cabo acciones que luego lamentarán. Con la capacidad de manipular respuestas, inventar citas o enviar mensajes privados que pretendan ser grupales, como se vio en esta investigación, los estafadores tendrían muchas más posibilidades de éxito.

Además, cuanto mayor sea el grupo de WhatsApp, donde a menudo se envía una ráfaga de mensajes, es menos probable que un miembro tenga el tiempo o la dedicación de revisar cada mensaje para verificar su autenticidad, y podría ser fácilmente absorbido por la información que ve. Como ya se ha visto en correos electrónicos no deseados que simulan que el nombre del remitente parece ser de una fuente en la que el receptor confía, esta última vulnerabilidad permitiría utilizar métodos similares a partir de un vector de ataque totalmente diferente.

Cómo protegerse de la desinformación

Si bien no existen productos de seguridad que puedan proteger a los usuarios de estos tipos de engaños, hay varias ideas que se deben tener en cuenta para evitar ser víctimas de noticias falsas, teorías de conspiración y estafas en línea en general.

• Si algo suena demasiado bueno para ser cierto, generalmente lo es. Y del mismo modo, si algo suena demasiado ridículo para ser cierto, probablemente lo sea.

• La desinformación se propaga más rápido que la verdad. A pesar de que puede estar viendo las mismas noticias de múltiples fuentes, esto no lo hace más factual de lo que vendría de una sola fuente.

• Verifique los ‘hechos’. Se recomienda verificar lo que ve en las redes sociales con una búsqueda rápida en línea para ver lo que otros pueden decir sobre la misma historia. O mejor aún, no obtenga más noticias de sitios web publicados en redes sociales.