Así es como una simple foto puede ser el caballo de Troya para robar los datos de WhatsApp

Código malicioso oculto en una fotografía. Así es como un ciberdelincuente o persona malintencionada podría tomar el control de los datos de un servicio de mensajería. Un grupo de investigadores de la firma de seguridad Check Point han descubierto una vulnerabilidad en las versiones para navegadores web de WhatsApp y Telegram, dos de los servicios más extendidos del mundo, y que están dirigidos al método en que ambos servicios de chat procesan las imágenes y los archivos multimedia. Tras comunicarles el problema el pasado 7 de marzo, ambas compañías ya han puesto solución.

Los expertos creen que con solo enviar una imagen «aparentemente inofensiva» un ciberdelincuente podría «tomar el control de tu cuenta y abrir todo», señala a este diario Mario García, director general de Check Point

para España y Portugal. Esta vulnerabilidad podría permitir a un ciberdelincuente enviar el código malicioso oculto dentro de una imagen de aspecto inofensivo. De forma que en el momento en el que el usuario abriera la fotografía dejaría vía libre a sus datos almacenados tanto en WhatsApp como Telegram. Además, esta técnica daría libertad a los ciberdelincuentes a enviar el archivo malicioso a todos los contactos de la víctima, lo que «potencialmente permite un ataque a gran escala».

Este «bug», limitado a las versiones web, no afecta al sistema de cifrado implantado por las «apps» para dispositivos móviles. El diseño del servicio para ser utilizado desde un ordenador común, independientemente del navegador, contenía una vulnerabilidad que en caso de ser explotada podría exponer los datos personales registrados en el servicio, tales como tener acceso a la agenda de contactos, acceder al historial de las conversaciones o descargar las imágenes almacenadas, así como enviar mensajes en nombre de la víctima.

El mecanismo que utiliza para cargar los archivos en WhatsApp admite varios tipos de formatos y tipos de documentos (Office, PDF, audio, vídeo e imágenes). Cada uno de ellos se puede enviar a los usuarios de WhatsApp como un archivo adjunto. Sin embargo, desde Check Point apuntan a que han logrado saltarse las restricciones de ese mecanismo al cargar un documento HTML malicioso con una previsualización aparentemente verosímil de una imagen con el fin de engañar a una víctima para abra la fotografía.

La idea, en efecto, es que se ha descubierto la forma en que se puede introducir un archivo ejecutable que «no es visible por parte del usuario» en el propio texto de la imagen sino en los metadatos que contiene. «Y sin que supieras nada y han tomado el control de tu cuenta», asegura. Actualmente, tanto WhatsApp como Telegram utilizan una encriptación de mensajes de «extremo a extremo», un sistema de protección que garantiza que únicamente los interlocutores tienen acceso a los mensajes enviados, aunque los expertos creen que esta técnica fue la fuente del punto débil.

El problema -dicen- es que dado que los mensajes se cifran justo en el mismo instante en el que se envían ambos servicios no pudieron detectar el tipo de archivos que se estaba adjuntando, por lo que no pudieron evitar que se enviara «malware». Después de corregir esta vulnerabilidad, el contenido se validará ahora antes del cifrado, lo que permitirá bloquear los archivos maliciosos.

En el caso de WhatsApp, su versión para navegadores, disponible para todos las versiones, actúa a modo de espejo al recoger todos los mensajes enviados y recibidos en la aplicación para móviles pero los sincroniza con los dispositivos de los usuarios. En septiembre de 2015, la misma compañía halló otra vulnerabilidad en WhatsApp Web, que permitía a los «hackers» enviar a los usuarios una vCard aparentemente inofensiva que contenía «malware».

Telegram niega el problema

«Esto no es verdad, Telegram nunca tuvo este problema», aseguran, sin embargo, fuentes de la compañía de mensajería en contra de la investigación llevada a cabo por Check Point. La empresa especializada en seguridad, en realidad y según Telegram, «señaló un problema diferente en Telegram Web, que estaba basado en la misma idea, pero tenía implicancias muy diferentes para el usuario final». Según explica la «app» de mensajería, si sus usuarios simplemente abrieron el video para reproducirlo en una pestaña nueva o en modo de pantalla completa, no pasa nada.