Secciones
El verdadero peligro de guardar fotos de WhatsApp / WhatsApp Web
Mundo

El verdadero peligro de guardar fotos de WhatsApp / WhatsApp Web

Te mostramos por qué deberías dejar de descargar y almacenar fotos de iMessage, WhatsApp y Android en tu teléfono celular

por LaVerdad

El verdadero peligro de guardar fotos de WhatsApp / WhatsApp Web

El verdadero peligro de guardar fotos de WhatsApp / WhatsApp Web

Cuando recibes un archivo adjunto en un mensaje de texto o WhatsApp, digamos un documento de Word o PDF, es de esperar que estés programado para hacer una serie de preguntas antes de abrir o guardar ese archivo adjunto en su teléfono. ¿Conozco al remitente? ¿Esperaba el archivo? Pero, ¿y si fuera solo una foto, algo divertido o que te llame la atención para guardar o compartir? Puedes ver la imagen dentro de la aplicación de mensajería, puedes ver lo que estás obteniendo, seguramente no hay nada de malo en guardarla en tu álbum de fotos, ¿cierto?

El hecho es que una imagen maliciosa compartida a través de WhatsApp o WhatsApp Web tiene la misma capacidad de dañar tu dispositivo y robar tus datos que un archivo adjunto malicioso, como tradicionalmente los conocemos. La única diferencia es que es un ataque más sofisticado, lo que lo hace todavía más raro. Vimos el último ejemplo de tal amenaza con Facebook confirmando que había corregido una vulnerabilidad de Instagram revelada por los investigadores de Check Point, una que involucraba una imagen elaborada que podría potencialmente secuestrar una cuenta completa, tal vez incluso a costa de los permisos de Instagram para tomar -a través de un teléfono inteligente.

El caso de Facebook

Facebook disputó la afirmación de Check Point de que la imagen maliciosa que apareció en Instagram podría usarse para apoderarse del teléfono inteligente y acceder a la cámara y al micrófono. Facebook dijo que el peor de los casos sería un secuestro de cuenta, lo que parece bastante malo en sí mismo. Y mientras Check Point afirmó que simplemente guardar una imagen en un teléfono desencadenaría el ataque, Facebook dijo que un usuario necesitaría cargar la imagen en Instagram. Una vez más, se aceptó el hecho de que una imagen se había elaborado como herramienta de ataque. Y ese es el punto aquí.

El ataque POC de Check Point fue que una imagen se enviaría a la víctima a través de una plataforma popular: iMessage, Android Messages o WhatsApp, y el contenido de la imagen tentaría a la víctima a guardar la foto en su dispositivo. Es fácil de hacer: la mayoría de nosotros lo hacemos todo el tiempo, incluso si solo es para compartir la imagen en una plataforma diferente, en lugar de reenviar el mensaje que hemos recibido.

Ekram Ahmed, de Check Point, dijo que esto debería servir como una advertencia ya que pueden ser un caballo de Troya para que los piratas informáticos invadan su teléfono.

“Piénselo dos veces antes de guardar fotos en su dispositivo”.

Lo demostramos con Instagram, pero es probable que la vulnerabilidad se pueda encontrar en otras aplicaciones", señaló. Es casi seguro que ese sea el caso: el problema fue con la implementación de una capacidad de análisis de imágenes de código abierto escondida dentro de la aplicación de Instagram. Y esa biblioteca de software de terceros está ampliamente instalada en muchas otras aplicaciones.

Whatsapp Web
Las fotos pueden ser peligrosas en las aplicaciones de mensajería como WhatsApp.

Las imágenes, una ventana de ataques

Sonatype, que se especializa en ayudar a los desarrolladores a hacer un uso seguro de tales bibliotecas de software de código abierto, me dijo que tales componentes “constituyen el 90% de cualquier aplicación moderna, y no todos los componentes son creados iguales ... Mientras que Check Point reveló este problema responsablemente y Facebook emitió un parche, puede haber miles de otras compañías usando una versión vulnerable de [ese] componente".

Si recibieras una imagen maliciosa en una de sus aplicaciones de mensajería o redes sociales, es casi seguro que verla dentro de las aplicaciones no tenga complicaciones. El problema surge cuando se guarda en el álbum en el almacenamiento interno del teléfono o en un disco externo. Vimos esto el año pasado, con WhatsApp y Telegram expuestos a una vulnerabilidad de Android donde las imágenes se guardaban en un disco externo. Dicho esto, a principios de este año, el equipo de Project Zero de Google advirtió que el manejo de imágenes por parte de los propios mensajeros en iOS podría verse frustrado cuando se manejara un tipo de archivo inusual.

Pero los problemas con las aplicaciones principales se pueden solucionar, y si se apega a las aplicaciones de mensajería a gran escala y de redes sociales, entonces abordarán las vulnerabilidades de manejo de imágenes una vez reveladas. En pocas palabras, esos problemas están con las aplicaciones y no con las imágenes, confía en que la aplicación manejará de forma segura cualquier contenido que muestre. Una vez que mueva una imagen desde fuera de esta caja de arena, por así decirlo, a su propio dispositivo, el riesgo cambia. Sin embargo, lo que las aplicaciones no harán es enviar imágenes limpias a través de sus aplicaciones para eliminar las amenazas en caso de que guarde esas imágenes en el propio dispositivo. Las aplicaciones de redes sociales eliminan metadatos, como la ubicación donde se tomó la foto, y comprimen el tamaño de la imagen pero no detectan amenazas creadas en la estructura de la imagen en sí. Las aplicaciones de mensajería SMS ni siquiera comprimen o eliminan los metadatos de forma predeterminada.

WhatsApp prepara una solución

La facilidad con la que se puede propagar una vulnerabilidad se destacó en mayo, cuando una imagen compartida en las redes sociales bloqueó ciertos dispositivos Android si se configuraba como fondo de pantalla de inicio. El problema estaba en la forma en que la imagen manejaba sus colores e interactuaba con el código relevante en el dispositivo Android. Nuevamente, no hay forma de que tales problemas sean detectados por las aplicaciones de mensajería o redes sociales utilizadas para compartir viralmente tales amenazas. No hubo intenciones maliciosas con esa imagen en particular, pero le dice cuán poderosa puede ser una imagen diseñada. “Este tipo de ataques generalmente los llevan a cabo actores del estado-nación o equivalentes”, me dijo el jefe de investigación cibernética de Check Point, Yaniv Balmas.

Las amenazas cibernéticas creadas no son los únicos riesgos que conllevan las innumerables imágenes que ahora recibimos y luego compartimos. Si vamos a comprometernos a nosotros mismos y otros por el contenido enviado desde nuestros teléfonos, lo más probable es que sean las imágenes y videos que capturamos y compartimos. Por eso, el último movimiento de WhatsApp, ahora en desarrollo, para permitir que los usuarios hagan desaparecer los archivos adjuntos multimedia una vez que los vean, es muy bienvenido. Esto se puede hacer en aplicaciones de medios como Snapchat e Instagram, proporcionar lo mismo dentro de un mensajero convencional debería convertirse en la norma.

WhatsApp Web
Sigue estos consejos para mantener seguros tus dispositivos.

Evitar ciberataques en Whatsapp

Entonces, ¿cuál es el consejo para mantenerse a salvo? Es extraordinariamente sencillo. Si conoces a la persona y la cámara, lo que significa que puedes saber que capturaron las fotos enviadas con su propio teléfono, entonces puedes guardar lo que sea que envíen. Puedes hacer esto mediante el uso compartido inalámbrico, como AirDrop de Apple, o mediante iMessage o Mensajes de Android para obtener versiones de resolución completa con metadatos intactos. También puedes usar WhatsApp, WhatsApp Web u otros mensajeros "over-the-top", pero es probable que compriman el tamaño de las fotos y eliminen los datos de ubicación de los archivos.

Si no conoces bien al remitente, o si la imagen pudo haber sido reenviada desde otro lugar o extraída de Internet o de las redes sociales, no la guardes en tu dispositivo. Puede parecer una simple foto, pero en última instancia es un archivo de datos del que no puedes responder. Del mismo modo, si recibes imágenes por mensajes de redes sociales o en tu feed que no son fotos tomadas por alguien que conoces, déjalas donde están.

Exactamente por la misma razón, no debes configurar los permisos en ninguna de tus aplicaciones de mensajería o redes sociales para guardar automáticamente imágenes y videos en tu teléfono. Como advierte el cibergurú de ESET, Jake Moore, “el simple hecho de recibir un archivo que se guarda automáticamente suena peligroso por cualquier medio, pero tiende a ser la norma para muchas personas. El almacenamiento de imágenes se puede realizar de forma retrospectiva, lo que tiene mucho más sentido en cuanto a seguridad; luego, puedes elegir cuando sepas que las imágenes están a salvo de remitentes desconocidos".

TE RECOMENDAMOS LEER: WhatsApp Web: Las últimas actualizaciones y trucos de WhatsApp 2020

Y esa es la conclusión clave aquí: remitentes seguros. Pero también necesitas agregar contenido seguro a eso. Las armas cibernéticas más poderosas son las que se esconden a plena vista. Es por eso que los actores de amenazas graves se enfocan en las aplicaciones principales que saben que se encontrarán en casi todos los dispositivos de destino. Es por eso que el spear-phishing dirigido envuelto en ingeniería social es tan potente. Y es por eso que una imagen de WhatsApp, que adormece a una víctima haciéndole creer que puede ver el contenido y, por lo tanto, puede descartar preocupaciones de que pueda haber una amenaza, es algo de lo que debe protegerse.

 
WhatsApp Web desde tu PC

Temas

Comentarios