WhatsApp: el día que la red quedó expuesta

Facebook , dueña del mensajero , había solicitado desde ayer actualizar con urgencia la app en todas las plataformas móviles. ¿El motivo? Una vulnerabilidad grave permitía a un atacante tomar control del dispositivo mediante una simple llamada de voz. No una llamada telefónica, sino una llamada de voz de WhatsApp.

Poco después, el Equipo de Respuesta a Emergencias Informáticas de Estados Unidos -US-CERT, por sus siglas en inglés; el organismo nació en 1988 como resultado del devastador ataque del gusano Morris- emitió un comunicado al respecto. Así que la cosa era seria.

Según el escueto aviso de Facebook al que remitía el CERT, la falla, identificada como CVE-2019-3568 (CVE viene de Common Vulnerabilities and Exposures), se encuentra en el componente de voz sobre IP de WhatsApp. Es decir, el que se usa para las llamadas (no para los mensajes o los audios), y permite la ejecución remota de código. De este modo, es posible instalar un software malicioso en el teléfono de la víctima. Por lo que se sabía hasta hoy, en este caso se trata de un spyware, un tipo de software espía.Actualización: Iván Arce, Director Ejecutivo de Tecnología de la empresa francesa de seguridad informática Quarkslab, informó a LA NACION que "la diferencia entre entre esta vulnerabilidad y otras es que Facebook indicó que se lo estaba usando para instalar en el smartphone un programa espía de la empresa NSO, que solo le vende a agencias de inteligencia y fuerzas de seguridad".

Para poner en práctica el ataque, solo se necesita una llamada de WhatsApp al teléfono que se pretende comprometer. No es menester que la víctima atienda; de todos modos el spyware se instalará en el smartphone. Hasta donde se sabía, el ataque tiene detrás a una organización calificada, capaz de producir armas cibernéticas avanzadas, y estaba dirigido a un grupo específico de blancos.

La vulnerabilidad, concluye el aviso de Facebook, afecta a WhatsApp en Android, iOS (iPhone, iPad), Windows Phone y Tizen (un sistema operativo basado en Linux para equipos de Samsung). El informe tiene fecha del ayer.

Escenario cambiante

Las vulnerabilidades informáticas de alta prioridad -como, por ejemplo, las que permiten la ejecución remota de código, aunque este no es el único parámetro por considerar- de ninguna manera son la excepción. Son la regla. El US-CERT publica, redondeando, unas 3500 fallas de esta clase por año. Dos conclusiones surgen de esta cifra.

La primera es que hay una crisis de seguridad informática manifiesta, que se traduce en brechas de muchas clases, desde el robo de dinero hasta la sustracción de cientos de millones de datos personales por año; por ejemplo, nombres de usuario y sus correspondientes contraseñas. Organizaciones de toda talla se ven afectadas, pero a la larga el más perjudicado es el ciudadano de a pie. Hace dos años, piratas informáticos robaron de las bases de datos de la compañía Equifax los datos de más de 145 millones de estadounidenses.

La segunda conclusión es que hay que instalar las nuevas versiones de apps y actualizaciones de los sistemas operativos, incluidos los móviles, tan pronto están disponibles. El catastrófico ataque del WannaCry (un ransomware), en 2017, se habría evitado en gran medida, si las actualizaciones de Windows hubieran sido instaladas a tiempo.

En total, el incidente ha venido a derribar una de las ideas más aceptadas de la revolución digital. Esto es, que los programas, las apps, los sistemas operativos y el software en general son muy seguros. Con unas 3500 vulnerabilidades de alta prioridad por año, el escenario adopta una coloratura bien diferente. Y faltan contabilizar aquí, entre otras, las temidas fallas de Día Cero ( Zero-Day, en inglés), es decir, aquellas que no son conocidas por los fabricantes hasta que empiezan a ser explotadas por los delincuentes informáticos.

Con todo, y como es público y notorio, el comercio electrónico, las finanzas digitales, la banca virtual y otras actividades que involucran patrimonio han demostrado ser viables. Pero esto no se debe a que el software sea intrínsecamente invulnerable, sino al esfuerzo de las compañías por cumplir con las reglas elementales de la seguridad informática. Al revés de lo que ocurre en el mundo real, donde es hasta cierto punto posible instalar perímetros y rejas, en Internet la seguridad es algo dinámico y cambiante.

Duda razonable

Las consultas de los usuarios sobre "si era verdad lo de la actualización de WhatsApp" revelaron que, de cierta forma, empieza a calar, por fin, un concepto clave: que los pedidos urgentes tienden a ser una trampa. Cierto, no era el caso esta vez, pero no fue del todo malo que las personas dudaran. Lo que lleva a otra cuestión.

Con la corrida virtual, en la mayoría de los casos no era menester hacer nada para que WhatsApp se actualizara y, de este modo, quedara sellada la vulnerabilidad. Pero en otros casos, y por varios motivos, se hacía necesario darle permiso a la tienda de aplicaciones (Google Play o AppStore, por citar las dos más populares) para que actualizara el mensajero. Por ejemplo, si la tienda está configurada para que solo actualice automáticamente mediante Wi-Fi y el teléfono solo había estado conectado a datos desde que se publicó la nueva versión de WhatsApp, entonces era necesario autorizar la descarga.

Por lo tanto, y si todavía el lector no tomó este recaudo, debería entrar en la tienda de Android y verificar que en la sección Mis apps y juegos el mensajero WhatsApp aparezca como actualizado. Lo mismo, en AppStore. De ser necesario, debe tocarse el botónActualizar.

No es la primera vez que WhatsApp causa revuelo con un aviso de apariencia urgente. En abril de 2016, Facebook implementó el cifrado punto a punto en WhatsApp. Para avisar a sus usuarios de la nueva función, puso un cartel demasiado llamativo y sospechoso. Resultó inofensivo, pero por entonces el público empezaba a dudar antes de darle clic a cualquier cosa. Es el primer paso para mantenerse seguro de los ataques informáticos.

Claves para mantenerse a salvo

¿Qué es una vulnerabilidad?

Los programas, apps, sistemas operativos y otros productos de software pueden contener errores que le permiten a un atacante tomar control del dispositivo, sustraer datos y otras actividades ilícitas. En el caso de la falla que afecta a WhatsApp se trata de una denominada desborde de pila (stack overflow, en inglés) en el componente del mensajero que se usa para las llamadas de voz. No afecta los mensajes de texto ni los audios. Sin embargo, y esto la vuelve muy grave, solo basta una llamada de WhatsApp para iniciar el ataque.

¿Cuándo actualizar?

Toda vez que una compañía publica una actualización de una app en las tiendas oficiales, así como las de sistemas operativos para móviles o computadoras y sus programas, es necesario instalarlas. Muchos de estos upgrades corrigen, precisamente, vulnerabilidades de alta prioridad, que son las más peligrosas. Un sistema o una app que no tienen las correspondientes actualizaciones están expuestos a ataques de variada gravedad. Sin embargo, debe tomarse en consideración que el pretexto de los upgrades también suele usarse para iniciar ataques.

Ingeniería social

La vulnerabilidad que afecta estos días a WhatsApp no requiere ninguna acción por parte de la víctima. Esto la vuelve muy peligrosa y, se creía ayer, el ataque estaba destinado a un grupo selecto de blancos. Se trata, no obstante, de una excepción. La mayoría de los ataques informáticos arrancan con un pretexto que induce a las personas a entrar en un sitio, abrir un adjunto o darle clic a una actualización. Pues bien, supuestas actualizaciones urgentes suelen usarse como tales pretextos. Así que no está de más preguntar primero.

Fuente: La Nación