Screenshot: Check Point Research

Una firma de seguridad llamada Check Point Research ha encontrado la forma de alterar los mensajes de WhatsApp para “poner palabras en la boca de otros usuarios” y engañar a quien esté leyendo la conversación. No es sencillo y solo modifica las citas, pero puede ser efectivo en grupos de chat.

El ataque empieza por interceptar el mensaje de la víctima mediante una versión modificada de WhatsApp Web. El atacante puede modificar tanto el contenido del mensaje como el remitente para engañar a la aplicación. Solo él podrá ver la versión falsificada del mensaje, pero si después lo cita con el botón “Responder”, todos los participantes del grupo lo recibirán también.

Check Point Research ilustró el fallo con tres ejemplos. En el primero, el atacante modifica un mensaje de su jefe para que en vez de ofrecerle un aumento de $500 le suba el sueldo $1500. En el segundo, el atacante altera el mensaje del administrador de un grupo para difundir que cierto producto enferma a los niños (este ejemplo es más creíble: si el grupo es numeroso, algunos usuarios podrían no darse cuenta de que la cita está alterada). En el tercer ejemplo, el atacante engaña a la víctima para que revele un secreto en el grupo familiar enviándole un mensaje modificado que solo ella recibe.

WhatsApp reconoció al New York Times que esta técnica permite manipular las citas, pero no considera que sea un fallo: el sistema funciona como está previsto; de lo contrario, tendría que verificar cada mensaje del lado del servidor, lo que generaría “un enorme riesgo de privacidad o un atasco en el servicio”. En lugar de arreglar el problema, la compañía trata de expulsar de la plataforma a cualquiera que use una versión pirata de WhatsApp.

Advertisement

Para comprobar si una cita ha sido alterada, puedes hacer clic sobre ella o tocarla con el dedo: WhatsApp te llevará al mensaje original sin modificar.