Cualquier usuario de WhatsApp que pertenezca a un grupo pudo ser espiado e incluso ciberatacado en el transcurso de las últimas semanas.
En ese sento, la última brecha de seguridad fue detectada el 10 de enero pasadoy, aunque ya fue solucionada, pudo ser la causante de suplantaciones.
Los enlaces de al menos 4.000 chats grupales aparecieron en el buscador Google al alcance de cualquiera. Gracias a eso, los ciberdelincuentes se pudieron unir a grupos privados sin ser descubiertos.
No se sabe cuánto tiempo llevaban los enlaces en Google, pero sí que fueron al menos varios días, en los que los ciberdelincuentes pudieron aprovechar para colarse en infinidad de grupos y, como consecuencia, llevar a cabo ciberataques de phishing a través del envío de direcciones web (URL).
No es la primera vez que se detecta este problema. En 2019 y de nuevo en 2020 se detectaron también direcciones de grupos de WhatsApp en Google. La empresa aseguró haber resuelto este fallo que se produce cuando se crea un enlace para invitar a una persona a unirse a un grupo. Google indexa ese link automáticamente y a partir de ahí es accesible para todos los usuarios tras realizar una búsqueda precisa.
El phishing es un mecanismo de fraude que permite a los ciberdelincuentes recoger información sensible como nombres de usuario, claves de cuentas o números de tarjetas de crédito a través de una comunicación electrónica. En este caso alguien podría, por ejemplo, hacerse pasar por un amigo o un familiar de un miembro del grupo para así estafar a los usuarios del chat.
"A veces no hace falta ni eso. Simplemente cuando los atacantes llevan días en el grupo mandan enlaces de contenido malicioso al resto de usuarios, que hacen clic sin pensar que se trata de un desconocido", señala Eusebio Nieva, director técnico de Check Point para España y Portugal.
Es un problema que también puede producirse si se envía el enlace de invitación de manera masiva, ya que la red social permite entrar a un grupo a cualquiera que disponga de la URL.
En Telegram, una plataforma similar, podés revocar el enlace, crear un segundo enlace o determinar una cierta duración para poder acceder a los enlaces de invitación. Y en una tercera, Discord se pueden además determinar si los usuarios pueden invitar a otros.
"WhatsApp no avisa, ni siquiera a los administradores, de que alguien nuevo se apuntó al grupo, por eso los usuarios deben estar atentos. Esa persona va a escuchar y leer todo el contenido con todos los problemas de confidencialidad que eso conlleva", dice Nieva.
Por eso es complicado evitar este tipo de suplantaciones. "El factor humano siempre es el más vulnerable, no debemos confiar en alguien solo porque esté en el mismo grupo de WhatsAapp que nosotros", añade Nieva. Permanecer alerta e investigar con quién nos comunicamos es fundamental para no caer en este tipo de engaños.
El equipo de ciberseguridad de WhatsApp recomienda que se envíen los links de acceso a los grupos con cautela. "Los enlaces se deben compartir de forma privada con personas que el usuario conozca y en las que confíe. No deben publicarse en un sitio web de acceso público", afirma un portavoz de WhatsApp.
El problema ocurrió porque Google indexó las direcciones de invitación a los grupos. El término "indexar" se refiere, en este caso, a que un dato o dirección web aparezca en el buscador.
"Google funciona porque obtiene información de todos los sitios web a los que se puede acceder y, con esa enorme base de datos, suministra los enlaces en función de la petición que los usuarios introduzcan en el buscador", señala José Luis Vázquez Poletti, profesor en el departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid (UCM).
Estos datos no se obtienen porque los trabajadores de la multinacional recojan información de las webs una por una. Se hace a través de sofisticados y rapidísimos bots, mucho más potentes que los de Twitter o Facebook. Los que usa Google están tremendamente automatizados. Se les llama arañas porque son programas que recorren los enlaces de la web de forma sistemática como si se movieran por una telaraña.
Cada vez que un bot encuentra un enlace lo copia, y a partir de él continúa buscando metadatos asociados. Por eso si halla una URL de un grupo de WhatsApp, como pasó en 2019 y 2020, el propio sistema sigue encontrando más solo con tirar del hilo.
"Originalmente el fallo se debió a que un comando del fichero de WhatsApp Web no era correcto, es decir, no había ninguna instrucción que impidiera cargar esos datos en Google", remarcó el profesor Vázquez Poletti.
"Es posible que las últimas actualizaciones de WhatsApp fueran desarrolladas por un equipo distinto del original y por eso determinados aspectos de la configuración no se han tenido en cuenta", especuló el profesor Vázquez Poletti. "Ese pudo ser el error porque cuando heredas un proyecto de otra persona, por mucha documentación que exista, no tienes una visión global", destaca.
El problema es que ya ocurrió tres veces, aunque la multinacional estadounidense asegura que estaba corregido. "Desde marzo de 2020 WhatsApp incluye la etiqueta noindex en todas las páginas de enlaces. También hemos hablado con Google para que no indexe estos chats", concluyó un portavoz de WhatsApp, según informó un artículo del sitio Retina.