Una compañía de ciberseguridad detectó dos vulnerabilidades en WhatsApp Web que podrían usarse para acceder a cierto contenido y manipularlo con intenciones de generar noticias falsas.
La compañía denominada Check Point dedicada a la ciberseguridad participó en el evento Black Hat 2019, donde pudo exponer dos de las vulnerabilidades que tiene WhatsApp en el protocolo de encriptación.
Una de las fallas permite que una persona pueda hacer uso de las menciones de un grupo y modificar la identidad de quién lo escribe. También puede cambiar la identidad de alguien que no está presente en el grupo.
La otra falla permite el poder editar las palabras de otra persona parcial o totalmente. Esto es un problema muy grave ya que se podría manipular conversaciones enteras y perjudicar a una persona inocente de sus palabras.
Algo que se puede mencionar es que actualmente existen aplicaciones que permiten simular una conversación en WhatsApp y crear capturas de pantalla sin siquiera existir una marca de agua que permita a quienes las vean saber que son falsas o hechas en broma. Al ser una plataforma de comunicación de extremo a extremo ha de suponerse que la privacidad está asegurada y entonces esas capturas pueden tenerse en cuenta como verídicas ya que quién demuestre lo contrario debería ser la otra persona víctima de este tipo de hecho que podría desprestigiar su ser o reputación.
En cuanto a los problemas encontrados están presentes en la versión web de WhatsApp. Se pudo encontrar que hay un fallo al nivel de acceso a las cuentas mediante el escaneo de códigos QR pero también en el sistema de claves públicas y privadas antes de generar el código de acceso a la plataforma.
Compañía de ciberseguridad Check Point
La empresa alerta que estas fallas dan lugar a la generación de noticias falsas y ciertos rumores que podrían comprometer a ciertas personas o entidades. Check Point, la empresa de ciberseguridad, desarrolló un exploit (método) en el que se puede probar el acceso a la información encriptada haciendo notar que la mensajería cifrada de extremo a extremo no está totalmente asegurada.
Estas vulnerabilidades anteriormente fueron notificadas por la empresa aunque actualmente persisten desde hace un año de ser alertadas.