¿Es posible hackear el WhatsApp de otra persona?

A menudo nuestros clientes preguntan a nuestro equipo de investigadores privados ¿Es posible hackear un WhatsApp? La verdadera respuesta es sí, pero, no lo hacemos ni lo recomendamos bajo ningún concepto. ¿Crees que el cifrado de mensajes de WhatsApp lo hace seguro? Aquí hay varias formas en que su WhatsApp puede ser vulnerado. A pesar de que tiene algunas características de seguridad, como el uso de cifrado de extremo a extremo para mantener la privacidad de los mensajes. Sin embargo, los ataques dirigidos a WhatsApp podrían comprometer la privacidad de sus mensajes y contactos.

Aquí hay nueve formas en que se puede vulnerar WhatsApp:

1. Ejecución remota de código a través de GIF

En octubre de 2019, el investigador de seguridad Awakened reveló una vulnerabilidad en WhatsApp que permitía a los piratas informáticos tomar el control de la aplicación mediante una imagen GIF. El truco funciona aprovechando la forma en que WhatsApp procesa las imágenes cuando el usuario abre la vista Galería para enviar un archivo multimedia.

Cuando esto sucede, la aplicación analiza el GIF para mostrar una vista previa del archivo. Los archivos GIF son especiales porque tienen varios fotogramas codificados. Esto significa que el código se puede ocultar dentro de la imagen.

Si un pirata informático enviara un GIF malicioso a un usuario, podría comprometer todo el historial de chat del usuario. Los piratas informáticos podrían ver a quién había estado enviando mensajes el usuario y qué habían estado diciendo. También podrían ver los archivos, fotos y videos de los usuarios enviados a través de WhatsApp.

Antes de contactar algún servicio particular de investigador privado especialista en informática solicitando este tipo de actividad, debe tomar en cuenta que esta vulnerabilidad afectó a las versiones de WhatsApp hasta 2.19.230 en Android 8.1 y 9. Afortunadamente para todos, Awakened reveló la vulnerabilidad de manera responsable y Facebook, propietario de WhatsApp, solucionó el problema. Para mantenerse a salvo de este problema, debe actualizar WhatsApp a la versión 2.19.244 o superior.

2. El ataque de llamada de voz de Pegasus

El software Pegasus es una alternativa de espionaje de algunos gobiernos como México, Hungría, India, Kazajastán, Marruecos, Arabia Saudita, Emiratos Árabes Unidos entre otros. Otra vulnerabilidad de WhatsApp descubierta a principios de 2019 fue el hackeo de llamadas de voz de Pegasus .

Este ataque aterrador permitió a los piratas informáticos, detectives privados, investigadores privados, hackers, entre otros atacantes que usen este software acceder a un dispositivo simplemente haciendo una llamada de voz de WhatsApp a su objetivo. Incluso si el objetivo no respondió a la llamada, el ataque aún podría ser efectivo. Y es posible que el objetivo ni siquiera sepa que se ha instalado malware en su dispositivo.

Esto funcionó a través de un método conocido como desbordamiento de búfer. Aquí es donde un ataque coloca deliberadamente demasiado código en un pequeño búfer para que se “desborde” y escriba el código en una ubicación a la que no debería poder acceder. Cuando el pirata informático puede ejecutar código en una ubicación que debería ser segura, puede tomar medidas maliciosas.

Este ataque instaló un software espía más antiguo y conocido llamado Pegasus. Esto permitió a los piratas informáticos recopilar datos sobre llamadas telefónicas, mensajes, fotos y videos. Incluso les permitió activar las cámaras y micrófonos de los dispositivos para realizar grabaciones.

Esta vulnerabilidad se aplicó a dispositivos Android, iOS, Windows 10 Mobile y Tizen. Fue utilizado por la empresa israelí NSO Group, que ha sido acusada de espiar al personal de Amnistía Internacional y a otros activistas de derechos humanos. Después de que se supo la noticia del hack, WhatsApp se actualizó para protegerlo de este ataque.

3. Ataques de ingeniería social

Otra forma en que WhatsApp es vulnerable es a través de ataques de ingeniería social. Estos explotan la psicología humana para robar información o difundir información errónea.

Una empresa de seguridad llamada Check Point Research reveló uno de esos ataques que llamaron FakesApp. Esto permitió a las personas hacer un mal uso de la función de cita en el chat grupal y alterar el texto de la respuesta de otra persona. Esencialmente, los piratas informáticos podrían plantar declaraciones falsas que parecen provenir de otros usuarios legítimos.

Los investigadores podrían hacer esto descifrando las comunicaciones de WhatsApp. Esto les permitió ver los datos enviados entre la versión móvil y la versión web de WhatsApp.

Y a partir de aquí, podrían cambiar los valores en los chats grupales. Entonces podrían hacerse pasar por otras personas, enviando mensajes que parecían ser de ellos. También podrían cambiar el texto de las respuestas.

Esto podría usarse de formas preocupantes para difundir estafas o noticias falsas. A pesar de que la vulnerabilidad se reveló en 2018, aún no se había corregido cuando los investigadores hablaron en la conferencia Black Hat en Las Vegas en 2019, según ZNet .

4. Captura de archivos multimedia

Los hackers, investigadores privados, detectives privados, entre otros piratas informáticos utilizan el Media File Hacking que afecta tanto a WhatsApp como a Telegram, este ataque aprovecha la forma en que las aplicaciones reciben archivos multimedia como fotos o videos y los escriben en el almacenamiento externo de un dispositivo.

El ataque comienza instalando malware oculto dentro de una aplicación aparentemente inofensiva. Esto luego puede monitorear los archivos entrantes para Telegram o WhatsApp. Cuando ingresa un nuevo archivo, el malware puede cambiar el archivo real por uno falso. Symantec , la compañía que descubrió el problema, sugiere que podría usarse para estafar a las personas o para difundir noticias falsas.

Hay una solución rápida para este problema. En WhatsApp, debe buscar en Configuración e ir a  Configuración de chat . Luego, busque la  opción Guardar en la galería y asegúrese de que esté  desactivada . Esto lo protegerá de esta vulnerabilidad. Sin embargo, una verdadera solución para el problema requerirá que los desarrolladores de aplicaciones cambien por completo la forma en que las aplicaciones manejan los archivos multimedia en el futuro.

5. Facebook podría espiar los chats de WhatsApp

El hecho de que WhatsApp utilice cifrado de extremo a extremo no significa que todos los mensajes sean privados. En un sistema operativo como iOS 8 y superior, las aplicaciones pueden acceder a archivos en un “contenedor compartido”.

Tanto las aplicaciones de Facebook como WhatsApp utilizan el mismo contenedor compartido en los dispositivos. Y aunque los chats están encriptados cuando se envían, no necesariamente están encriptados en el dispositivo de origen. Esto significa que la aplicación de Facebook podría potencialmente copiar información de la aplicación de WhatsApp.

Para ser claros, no hay evidencia de que Facebook haya utilizado contenedores compartidos para ver los mensajes privados de WhatsApp. Pero el potencial está ahí para que lo hagan. Incluso con el cifrado de extremo a extremo, es posible que sus mensajes no sean privados para el ojo que todo lo ve de Facebook.

6. Aplicaciones pagas de terceros

Te sorprendería saber cuántas aplicaciones legales pagas han aparecido en el mercado que existen únicamente para piratear sistemas seguros.

Esto lo podrían hacer hackers, detectives privados, investigadores privados y las grandes corporaciones trabajando mano a mano con regímenes opresivos para atacar a activistas y periodistas; o por ciberdelincuentes, con la intención de obtener su información personal.

Aplicaciones como Spyzie y mSPY  pueden piratear fácilmente su cuenta de WhatsApp para robar sus datos privados.

Todo lo que necesita hacer es comprar la aplicación, instalarla y activarla en el teléfono de destino. Finalmente, puede sentarse y conectarse al panel de control de su aplicación desde el navegador web, y fisgonear datos privados de WhatsApp como mensajes, contactos, estado, etc. ¡Pero obviamente desaconsejamos a cualquiera que realmente haga esto!

7. Clones falsos de WhatsApp

Para hackear su cuenta de WhatsApp, un atacante primero intentará instalar un clon de WhatsApp, que podría verse sorprendentemente similar a la aplicación original. Tomemos el caso de la estafa de WhatsApp Pink, por ejemplo. Un clon del WhatsApp original, pretende cambiar el fondo verde estándar de WhatsApp a rosa. Así es como funciona.

Un usuario desprevenido recibe un enlace para descargar la aplicación WhatsApp Pink para cambiar el color de fondo de su aplicación. Y aunque realmente cambia el color de fondo de su aplicación a rosa, tan pronto como instale la aplicación, comenzará a recopilar datos no solo de su WhatsApp sino también de todo lo demás almacenado en su teléfono. Ahora también se ha adoptado para irrumpir en los sistemas Android.

8. WhatsApp Web

WhatsApp Web es una excelente herramienta para alguien que pasa la mayor parte del día en una computadora. Proporciona la facilidad de acceso a dichos usuarios de WhatsApp, ya que no tendrán que levantar su teléfono una y otra vez para enviar mensajes. La pantalla grande y el teclado también brindan una mejor experiencia de usuario en general.

Sin embargo, aquí está la advertencia. Por muy útil que sea la versión web, se puede usar fácilmente para hackear sus chats de WhatsApp. Este peligro surge cuando usa WhatsApp Web en la computadora de otra persona.

Por lo tanto, si el propietario de la computadora ha seleccionado la  casilla Mantener la sesión iniciada durante el inicio de sesión, su cuenta de WhatsApp permanecerá registrada incluso después de cerrar el navegador.

El propietario de la computadora puede acceder a su información sin mucha dificultad.

9. Ataque de suplantación de WhatsApp

Un método que permite bloquear el acceso a cualquier cuenta de WhatsApp, todo se debe a una vulnerabilidad descubierta en la plataforma, que podría llegar a afectar a millones de personas en todo el mundo.

Los atacantes solo necesitarían conocer el número de teléfono de sus víctimas para llevar a cabo el ataque. Y teniendo en cuenta que la propia Facebook dejó públicos los números de teléfono de más de medio millón de personas, no debería ser demasiado difícil para estos atacantes dar con el número de sus objetivos.

El proceso de verificación en dos factores que WhatsApp habilita por defecto al crear una cuenta en el servicio es uno de los elementos más débiles de la aplicación, dado que entra en juego el factor humano y los atacantes pueden aprovecharse de ello para acceder a las cuentas de sus víctimas.

El funcionamiento de este sistema es sencillo: cuando se descarga la app de WhatsApp en un móvil, se pide introducir el número de teléfono y, posteriormente, un código recibido por SMS para verificar la cuenta. Si el código es correcto, la app solicitará el código de verificación en dos factores para identificar al usuario. No obstante, cualquiera puede introducir un número de teléfono de otra persona al instalar WhatsApp en un dispositivo. Cuando un atacante tiene el objetivo de bloquear la cuenta de su víctima, introduce el número de esta, solicitando el código de verificación que le permita verificar a la cuenta.

Pero dado que dicha cuenta se encuentra iniciada en el móvil de su víctima, esta comenzará a recibir códigos de verificación y notificaciones que indican que se está intentando iniciar sesión en otro dispositivo. Lo más normal sería ignorar dichas notificaciones, pero aquí te explicamos por qué no debes hacerlo.

El problema es que, cuando se ha solicitado un número determinado de códigos en corto tiempo, WhatsApp bloqueará el intento de acceso a la cuenta durante 12 horas, impidiendo realizar nuevos intentos de inicio de sesión. Esto, en principio, no debería ser un problema para la víctima a menos que decida cerrar sesión de su cuenta por ejemplo, para cambiar de móvil.

Pero es en este momento cuando el atacante llevaría a cabo el último paso en su objetivo de bloquear la cuenta de su víctima. Para ello, basta con enviar un mensaje de correo electrónico a la cuenta de soporte de WhatsApp, solicitando el cierre de la cuenta, alegando que esta podría haber sido robada. Dicho mensaje contiene el número de teléfono de la víctima.

Comments
  • This article offers a fascinating perspective on the subject. The depth of research and clarity in presentation make it a valuable read for anyone interested in this topic. It’s refreshing to see such well-articulated insights that not only inform but also provoke thoughtful discussion. I particularly appreciated the way the author connected various aspects to provide a comprehensive understanding. It’s clear that a lot of effort went into compiling this piece, and it certainly pays off. Looking forward to reading more from this author and hearing other readers’ thoughts. Keep up the excellent work!

  • Fantastic article! I appreciate how clearly you explained the topic. Your insights are both informative and thought-provoking. I’m curious about your thoughts on the future implications of this. How do you see this evolving over time? Looking forward to more discussions and perspectives from others. Thanks for sharing!

  • Great article! I appreciate the clear and insightful perspective you’ve shared. It’s fascinating to see how this topic is developing. For those interested in diving deeper, I found an excellent resource that expands on these ideas: check it out here. Looking forward to hearing others’ thoughts and continuing the discussion!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *