Internet

Un fallo en WhatsApp Web puso en peligro a 200 millones de usuarios

    elEconomista.es

    WhatsApp alcanzó recientemente los 900 millones de usuarios activos mensuales en todo el mundo, sin embargo, el mes pasado un fallo puso al descubierto a 200 millones que usan su plataforma de comunicación vía web, según ha avisado el sitio de seguridad Checkpoint.

    El investigador de seguridad Check Point, Kasif Dekel, descubrió recientemente graves fallos en la versión web de WhatsApp que abren la puerta a vulnerabilidades que pueden aprovechar atacantes contra usuarios de la plataforma.

    La compañía de seguridad explica que sabiendo estas vulnerabilidades los atacantes podrían explotar la lógica de la WhatsApp Web para engañar a los usuarios e infectarles de malware a través de lo que parece un contacto.

    Sin embargo, este contacto en realidad no se trataría de una persona, sino de archivo ejecutable que permitiría instalar malware o rasomware en los equipos a la vez que aprovecharía la cuenta del usuario para distribuirlo a otros contactos.

    "WhatsApp Web permite a los usuarios ver, recibir o enviar cualquier tipo de medio a través de la app móvil. Esto incluye imágenes, videos, archivos de audio, los lugares y las tarjetas de contacto. La vulnerabilidad reside en el filtrado incorrecto de tarjetas de contacto, enviado usando el popular formato 'vCard' (...) para ejecutar código malicioso, Kasif descubrió que un atacante podría simplemente insertar un comando para el archivo vCard, y cuando se trate de ejecutar en Windows, el sistema intentará ejecutar todas las líneas en los archivos, incluyendo nuestra línea infecciosa", explica la compañía en su blog.

    Antes de hacer público este fallo, la compañía de seguridad se puso en contacto con la plataforma el 21 de agosto para avisarle de la vulnerabilidad, una medida que tuvo como respuesta la solución del fallo en menos de una semana.

    Lo más curioso del descubrimiento es que es produjo cuando WhatsApp anunció la llegada de su versión Web para los iPhones de Apple, con lo que el agujero de seguridad estuvo disponible para los hackers durante 6 días.