13Aug
By: Carlo Romanillos On: August 13, 2018 In: News Comments: 0

Investigadores afirman que la falla puede ser usada para difundir ‘fake news’ en las redes sociales

Investigadores han descubierto una vulnerabilidad en la encriptado que usa WhatsApp que permite a agentes maliciosos manipular mensajes e identidades en grupos de chat. Esto puede ser usado para difundir noticias y mensajes falsos.

Todos los mensajes enviados por sus servicios van encriptados punta-a-punta – lo que significa que ni WhatsApp puede verlos. Pero un equipo de Check Point Research ha descubierto tres métodos de ataque que pueden ser derivados de revertir este proceso de encriptado, y luego accesar los datos del chat.

Usando la característica de “citado” en un grupo de chat, los hackers pueden cambiar la identidad del remitente, alterar el texto previamente enviado, y enviar un mensaje público que parece privado a un miembro del grupo – lo cual significa que el usuario piensa que es privado pero al responder su mensaje se hace público.

WhatsApp ha negado que existe tal vulnerabilidad, e insiste que el ecnriptado punta-a-punta permanece seguro.

“WhatsApp tiene más de 1.5 billones de usuarios con 1 billón de grupos de chat y 65 billones de mensajes enviados diariamente. Con tanto tráfico, el potencial para estafas online, rumores y fake news es enorme.” escribió Dikla Barda, de Check Point Research en un blog post.

“Siguiendo el procedimiento de Divulgación Responsable, Check Point Research ha informado a WhatsApp de sus hallazgos. Desde el punto de vista de Check Point Research, creemos que estas vulnerabilidades son de la mayor importancia y demandan atención.”

Luego de des-encriptar los mensajes y de accesarlos vía web, los investigadores pudieron no solo ver los parámetros individuales que conforman los mensajes – ej. el nombre del remitente, el contenido, el destinatario, etc. – si no manipular dichos parámetros.

En un ejemplo, investigadores pudieron cambiar un mensaje de un link a un artículo recomendando “buenos tips de salud”, publicado en un grupo de chat a un mensaje que decía “amigos escuché que el producto X causa enfermedades a los niños. Ya no lo voy a comprar!!” utilizando la función de citado.

También han desarrollado una versión de la herramienta que usaron para demostrar la brecha que usuarios pueden descargar gratis via Github.

Un detalle crucial es que dada la naturaleza del encriptado significa que WhatsApp no guarda ningún registro de los datos enviados usando la app. Esto significa que es prácticamente imposible hacer una referencia cruzada para verificar un mensaje falso con su original si es que fueron manipulados con tácticas como las emplearon en Check Point research.

“Hemos revisado esto y es el equivalente a alterar un correo electrónico para hacer que parezca algo que una persona nunca escribió.” dijo un vocero de WhatsApp.

“Este reclamo no tiene nada que ver con la seguridad de encriptado punta-a-punta, la cual asegura que solo el remitente y destinatario puedan leer los mensajes enviados en WhatsApp.”

“Nos tomamos el reto de la desinformación muy seriamente y recientemente hemos puesto límite al re-envío de contenido, añadiendo una etiqueta a los mensajes reenviados, y una serie de cambios a los grupos de chat.”

“Prohibimos cuentas que intentan modificar WhatsApp para tratar de enviar spam y estamos trabajando con sociedades civiles en muchos países para educar a la gente sobre fake news y engaños.”

El vocero añadió que para hacer los cambios que Check Point Research sugiere, WhatsApp tendría que mantener un registro de todos los mensajes – lo cual no está dispuesto a hacer por motivos de privacidad – eso o limitar severamente la funcionalidad de grupos de chat.

Leave reply:

Your email address will not be published. Required fields are marked *