Descubren una nueva vulnerabilidad de seguridad en WhatsApp

seguridad

WhatApp presume de ser una de las aplicaciones de mensajería instantánea que protege mejor sus conversaciones con un sistema de cifrado de extremo a extremo. Sin embargo, la app más popular entre los españoles lleva años presentando un grave fallo de seguridad que permite que cualquier usuario se pueda colar en los chats de terceros tan solo utilizando funciones básicas de Google.

Una nueva vulnerabilidad en las versiones de WhatsApp para Android y iOS ha sido revelada recientemente por los expertos de WABetaInfo. A través de su cuenta de Twitter, la página dedicada a informar novedades de la plataforma de mensajería, notificó recientemente, que el código de acceso de autenticación de dos factores (2FA) estaba almacenado en un archivo de texto sin estar cifrado.

seguridad, app, tecnologia, whatsapp, actualizacion, usuarios, WABetaInfo, notificacion, 2FA

Dicho mecanismo fue implementado por la compañía en 2017 y estaba destinado a proporcionar una capa de seguridad adicional a sus clientes.

«Es el archivo del que estaba hablando», publica WABetaInfo en el Twitter.

Lee también: WhatsApp incluye nueva función de desbloqueo de contactos

Asimismo, WABetaInfo tranquilizó a los internautas y señaló que la compañía no incluye el archivo en las copias de seguridad, y los intrusos no pueden acceder a él, ya que se encuentra almacenado en su ‘sandbox’, un contenedor privado. Además, no es suficiente disponer solo del código 2FA para acceder al WhatsApp de los usuarios, ya que también es imprescindible un código que la plataforma envía por SMS en el momento de su instalación.

No obstante, los expertos de WABetaInfo remarcan que teniendo en cuenta el hecho de que algunas versiones de iOS pueden tener ciertas vulnerabilidades, la empresa no debe dejar el archivo sin cifrar. Por ejemplo, el código es visible en dispositivos Android ‘rooteados’, lo que permitería a otras aplicaciones con permisos de ‘root’ acceder a este código y poner en peligro la privacidad de los usuarios.