Vulnerabilidad de Día Cero: la amenaza que se ha colado en WhatsApp y que no puedes impedir

Solo teniendo instalada la última versión de la aplicación, los usuarios pueden corregir la vulnerabilidad que ha salido a la luz este martes

Coge ahora mismo tu «smartphone» y actualiza cuanto antes WhatsApp. «Ya sea en Android o iOS, los usuarios tienen que entrar en las tiendas oficiales de dichos sistema operativos (Google Play y App Store) para instalar la última versión. Lo que tienen que hacer es actualizar todas las aplicaciones que tengan pendientes», explica Andrés Núñez, de la firma de seguridad S2 Grupo.

Solo así, con la última versión, los usuarios pueden corregir la vulnerabilidad que este martes ha sido descubierta en la popular aplicación de mensajería instantánea, por la que los ciberdelincuentes pueden instalar en los dispositivos móviles de los usuarios un «software» de vigilancia («spyware») mediante una simple videollamada.

Aunque la noticia se ha conocido a través del « Financial Times» , WhatsApp, que también anima a sus 1.500 millones de usuarios «a actualizar la última versión de la aplicación, así como a mantener el sistema operativo del móvil actualizado», explica a ABC que fue a principios de este mes de mayo cuando identificó y solucionó rápidamente una vulnerabilidad por la que un atacante podía insertar y ejecutar código en dispositivos móviles.

«Creemos que un actor cibernético avanzado atacó a un número determinado de usuarios a través de esta vulnerabilidad. El ataque tiene todas las características de una empresa privada que, según se informa, trabaja con los gobiernos para ofrecer software espía que asume las funciones de los sistemas operativos de teléfonos móviles», indica WhatsApp.

Ante este panorama, la popular aplicación, que pertenece a Facebook, recomiendan actualizar las versiones anteriores a:

- Si usas Android: v2.19.134,

- Si usas WhatsApp Business para Android: v2.19.44

- Si usas iOS: v2.19.51,

- Si usas WhatsApp Business para iOS: v2.19.51

- Si usas Windows Phone: v2.18.348

- Si usas Tizen: v2.18.15

Aunque no hay confirmación alguna, las sospechas se centran en el grupo israelí NSO Group, quien podría haber ideado el software de espionaje Pegasus aprovechándose del «bug» (como se conoce a los errores de seguridad). Se trata de un código malicioso de vigilancia diseñado para realizar ataques muy concretos, aunque se desconoce el número de usuarios que podrían estar afectados. La vulnerabilidad se descubrió el pasado domingo cuando un abogado británico especializado en derechos humanos fue atacado a través de su teléfono utilizando la herramienta NSO Group.

Vulnerabilidad Día Cero
«Lo que se ha descubierto es una vulnerabilidad de día cero», añade Andrés Núñez. Así es como se conocen a los errores de seguridad que son desconocidos. «Es decir, -continúa el experto-, nadie hasta ahora conocía que a través de una videollamada de WhatsApp se podía inyectar código en la 'app'. Solo el grupo que lo ha desvelado es el que lo conocía». Hasta ese momento, todos los dispositivos con la aplicación instalada «eran vulnerables». Al hacerse público el error, toca actualizar la aplicación para solucionarlo. Y hasta que eso sucede, pasa un tiempo en el que cualquiera puede aprovecharse de ese «bug». Es decir, todos los dispositivos son vulnerables.

Las vulnerabilidades de día cero son muy populares en el sector de la ciberseguridad. Están a la orden del día. Aún así, no hay duda de que se trata de un error de seguridad muy grave porque dicha vulnerabilidad «permitía instalar 'apps' en remoto», señala el experto. «Una videollamada de WhatsApp es una entrada de datos a un dispositivo (porque usa internet). En dicha entrada de datos iba oculta una aplicación que se instalaba en el 'smartphone'. En este caso, se trataba de una 'app' espía».

Un software espía, como su propio nombre indica, «te permite tomar el control remoto de un dispositivo», informa Núñez, por lo que el ciberdelincuente puede activar el micrófono, la cámara y acceder a tus datos cuando quieran o de manera permanente. «Puede activar la cámara y ver tus movimientos en todo momento», ejemplifica. A nivel usuario, es prácticamente imposible detectarlo.

Precisamente, este ciberataque en principio iba dirigido a personas e instituciones muy concretas, pero la vulnerabilidad del software existe en cualquier terminal si WhatsApp no se actualiza.

La ciberseguridad absoluta no existe
Con esta nueva brecha se evidencia, una vez más, que la seguridad al cien por cien no existe en internet. «Pero tampoco en el mundo físico», añade Núñez. «Una puerta blindada no te asegura al cien por cien de que no entren en tu casa», ejemplifica. Pero cuanto mejor protegidos estemos, menor riesgo. De ahí que los usuarios tengan siempre instaladas en sus dispositivos las últimas versiones de los sistemas operativos o aplicaciones.

Aunque pueda parecer extraño, «lo importante es detectar las brechas de seguridad cuanto antes y parchearlas. Y hacerlas públicas para que todos los usuarios las actualicen», afirma Núñez. «El primer paso para gestionar un riesgo -continua- es la amenaza. Si no sabes cuál es la vulnerabilidad, no puedes solucionarlo. Y sabiéndolo sí, aunque siempre va a existir una ventana de temporalidad por la que la seguridad va a estar siempre expuesta».

Pero el usuario tiene que ser consciente de que «el software de WhatsApp o de cualquier otro sistema o 'app', si no es vulnerable ahora, va a acabar siéndolo en cualquier momento de su existencia porque no existe al cien por cien la seguridad».

FUENTE: https://www.abc.es/tecnologia/informatica/software/abci-whatsapp-vulnera...