Una falla de WhatsApp expone una crisis de seguridad informática

Semaforo, Donado y Holmberg

Desde la leve inquietud hasta la alarma nerviosa, pasando por una duda más que razonable, esas fueron las emociones que experimentaron hoy los 1500 millones de usuarios de WhatsApp.

Facebook , dueña del mensajero , había solicitado desde ayer actualizar con urgencia la app en todas las plataformas móviles. ¿El motivo? Una vulnerabilidad grave permitía a un atacante tomar control del dispositivo mediante una simple llamada de voz. No una llamada telefónica, sino una llamada de voz de WhatsApp.

Poco después, el Equipo de Respuesta a Emergencias Informáticas de Estados Unidos -US-CERT, por sus siglas en inglés; el organismo nació en 1988 como resultado del devastador ataque del gusano Morris- emitió un comunicado al respecto. Así que la cosa era seria.

Según el escueto aviso de Facebook al que remitía el CERT, la falla, identificada como CVE-2019-2568 (CVE viene de Common Vulnerabilities and Exposures), se encuentra en el componente de voz sobre IP de WhatsApp. Es decir, el que se usa para las llamadas (no para los mensajes o los audios), y permite la ejecución remota de código. De este modo, es posible instalar un software malicioso en el teléfono de la víctima. Por lo que se sabía hasta hoy, en este caso se trata de un spyware, un tipo de software espía.

Para poner en práctica el ataque, solo se necesita una llamada de WhatsApp al teléfono que se pretende comprometer. No es menester que la víctima atienda; de todos modos el spyware se instalará en el smartphone. Hasta donde se sabía, el ataque tiene detrás a una organización calificada, capaz de producir armas cibernéticas avanzadas, y estaba dirigido a un grupo específico de blancos.

La vulnerabilidad, concluye el aviso de Facebook, afecta a WhatsApp en Android, iOS (iPhone, iPad), Windows Phone y Tizen (un sistema operativo basado en Linux para equipos de Samsung). El informe tiene fecha del ayer.

Escenario cambiante

Las vulnerabilidades informáticas de alta prioridad -como, por ejemplo, las que permiten la ejecución remota de código, aunque este no es el único parámetro por considerar- de ninguna manera son la excepción. Son la regla. El US-CERT publica, redondeando, unas 3500 fallas de esta clase por año. Dos conclusiones surgen de esta cifra.

La primera es que hay una crisis de seguridad informática manifiesta, que se traduce en brechas de muchas clases, desde el robo de dinero hasta la sustracción de cientos de millones de datos personales por año; por ejemplo, nombres de usuario y sus correspondientes contraseñas. Organizaciones de toda talla se ven afectadas, pero a la larga el más perjudicado es el ciudadano de a pie. Hace dos años, piratas informáticos robaron de las bases de datos de la compañía Equifax los datos de más de 145 millones de estadounidenses.

La segunda conclusión es que hay que instalar las nuevas versiones de apps y actualizaciones de los sistemas operativos, incluidos los móviles, tan pronto están disponibles. El catastrófico ataque del WannaCry (un ransomware), en 2017, se habría evitado en gran medida, si las actualizaciones de Windows hubieran sido instaladas a tiempo.

En total, el incidente ha venido a derribar una de las ideas más aceptadas de la revolución digital. Esto es, que los programas, las apps, los sistemas operativos y el software en general son muy seguros. Con unas 3500 vulnerabilidades de alta prioridad por año, el escenario adopta una coloratura bien diferente. Y faltan contabilizar aquí, entre otras, las temidas fallas de Día Cero ( Zero-Day, en inglés), es decir, aquellas que no son conocidas por los fabricantes hasta que empiezan a ser explotadas por los delincuentes informáticos.

Con todo, y como es público y notorio, el comercio electrónico, las finanzas digitales, la banca virtual y otras actividades que involucran patrimonio han demostrado ser viables. Pero esto no se debe a que el software sea intrínsecamente invulnerable, sino al esfuerzo de las compañías por cumplir con las reglas elementales de la seguridad informática. Al revés de lo que ocurre en el mundo real, donde es hasta cierto punto posible instalar perímetros y rejas, en Internet la seguridad es algo dinámico y cambiante.

Duda razonable

Las consultas de los usuarios sobre “si era verdad lo de la actualización de WhatsApp” revelaron que, de cierta forma, empieza a calar, por fin, un concepto clave: que los pedidos urgentes tienden a ser una trampa. Cierto, no era el caso esta vez, pero no fue del todo malo que las personas dudaran. Lo que lleva a otra cuestión.

Con la corrida virtual, en la mayoría de los casos no era menester hacer nada para que WhatsApp se actualizara y, de este modo, quedara sellada la vulnerabilidad. Pero en otros casos, y por varios motivos, se hacía necesario darle permiso a la tienda de aplicaciones (Google Play o AppStore, por citar las dos más populares) para que actualizara el mensajero. Por ejemplo, si la tienda está configurada para que solo actualice automáticamente mediante Wi-Fi y el teléfono solo había estado conectado a datos desde que se publicó la nueva versión de WhatsApp, entonces era necesario autorizar la descarga.

Por lo tanto, y si todavía el lector no tomó este recaudo, debería entrar en la tienda de Android y verificar que en la sección Mis apps y juegos el mensajero WhatsApp aparezca como actualizado. Lo mismo, en AppStore. De ser necesario, debe tocarse el botón Actualizar.

No es la primera vez que WhatsApp causa revuelo con un aviso de apariencia urgente. En abril de 2016, Facebook implementó el cifrado punto a punto en WhatsApp. Para avisar a sus usuarios de la nueva función, puso un cartel demasiado llamativo y sospechoso. Resultó inofensivo, pero por entonces el público empezaba a dudar antes de darle clic a cualquier cosa. Es el primer paso para mantenerse seguro de los ataques informáticos.