Mundo

WhatsApp revela seis vulnerabilidades ocultas previamente en su nuevo sitio de seguridad

WhatsApp revela seis vulnerabilidades ocultas previamente en su nuevo sitio de seguridad

WhatsApp estrena un nuevo sitio web para la divulgación relacionada con la seguridad de la plataforma

Por La Verdad

04/09/2020 06:54

WhatsApp, propiedad de Facebook, ha revelado seis vulnerabilidades desconocidas hasta el momento, que la compañía ha solucionado. Las vulnerabilidades se informan en un nuevo sitio web de asesoramiento de seguridad dedicado que servirá como el nuevo recurso que proporcionará una lista completa de las actualizaciones de seguridad de WhatsApp y las vulnerabilidades y exposiciones comunes asociadas (CVE).

WhatsApp dijo que cinco de las seis vulnerabilidades se solucionaron el mismo día, mientras que el error restante tardó un par de días en solucionarse. Aunque algunos de los errores podrían haberse desencadenado de forma remota, la compañía dijo que no encontró evidencia de que los hackers informáticos explotaran activamente las vulnerabilidades.

Alrededor de un tercio de las nuevas vulnerabilidades se informó a través del programa Bug Bounty de la empresa, mientras que las otras se descubrieron en revisiones de código de rutina y mediante el uso de sistemas automatizados, como era de esperar.

WhatsApp refuerza la seguridad

WhatsApp es una de las aplicaciones más populares a nivel global, con más de dos mil millones de usuarios en todo el mundo. Pero también es un objetivo persistente para los piratas informáticos, que intentan encontrar y explotar vulnerabilidades en la plataforma.

El nuevo sitio web se lanzó como parte de los esfuerzos de la empresa para ser más transparente acerca de las vulnerabilidades dirigidas a la aplicación de mensajería y en respuesta a los comentarios de los usuarios. La compañía dice que la comunidad de WhatsApp ha estado solicitando una ubicación centralizada para rastrear las vulnerabilidades de seguridad, ya que WhatsApp no siempre puede detallar sus avisos de seguridad en las notas de la versión de una aplicación debido a las políticas de la tienda de aplicaciones.

El nuevo panel se actualizará mensualmente, o antes si tiene que advertir a los usuarios de un ataque activo. También ofrecerá un archivo de CVE anteriores que se remonta a 2018. Si bien el enfoque principal del sitio web estará en los CVE en el código de WhatsApp, si la empresa presenta un CVE con la base de datos pública MITRE para una vulnerabilidad que encontró en el código de terceros, también lo indicará en la página de avisos de seguridad de WhatsApp.

El año pasado, WhatsApp se hizo popular después de corregir una vulnerabilidad supuestamente utilizada por el fabricante israelí de software espía NSO Group. WhatsApp demandó al fabricante de software espía, alegando que la compañía usó la vulnerabilidad para entregar de forma encubierta su software espía Pegasus a unos 1,400 dispositivos, incluidos más de 100 defensores de los derechos humanos y periodistas.

NSO negó las acusaciones.

WhatsApp desea ser más transparente con las vulnerabilidades de la aplicación.

John Scott-Railton, investigador principal de Citizen Lab, cuyo trabajo ha incluido la investigación de NSO Group, recibió con agrado la noticia.

Esto es bueno, sabemos que los malos actores hacen uso de amplios recursos para adquirir y convertir en armas las vulnerabilidades, dijo a TechCrunch. WhatsApp que envía la señal de que se moverá con regularidad para identificar y parchear de esta manera parece ser otra forma de aumentar el costo para los malos actores.

Facebook dijo que los errores enumerados en esta página no necesariamente significan que hayan sido explotados. Todas las vulnerabilidades enumeradas en el sitio son errores que se han parcheado recientemente, y la nueva página debería ser un ejemplo y una advertencia de por qué los usuarios deben mantener la aplicación WhatsApp actualizada en todo momento para evitar futuros ataques.

Además, la nueva página de avisos de seguridad de WhatsApp también enumerará los errores corregidos en las bibliotecas utilizadas por la aplicación.

Si estos errores tienen un impacto más amplio, fuera de la aplicación WhatsApp, entonces Facebook dijo que también notificaría a los desarrolladores de esas bibliotecas y fabricantes de sistemas operativos móviles.

En una publicación de blog, WhatsApp dijo que “Estamos muy comprometidos con la transparencia y este recurso está destinado a ayudar a la comunidad tecnológica en general a beneficiarse de los últimos avances en nuestros esfuerzos de seguridad. Recomendamos encarecidamente a todos los usuarios que se aseguren de mantener actualizado su WhatsApp en sus respectivas tiendas de aplicaciones y que actualicen sus sistemas operativos móviles siempre que haya actualizaciones disponibles".

TE PUEDE INTERESAR: WhatsApp Web y WhatsApp para PC: ¿Dónde se almacenan los archivos del chat?

Facebook también dijo el jueves que ha codificado su política de divulgación de vulnerabilidades, lo que permite a la compañía advertir a los desarrolladores sobre vulnerabilidades de seguridad en el código de terceros en el que confían Facebook y WhatsApp.