Agencias / Ciudad de México.- Ni uno, ni dos, ni tres. Seis fueron los fallos de seguridad que se registraron en WhatsApp durante este año y que pudieron comprometer los terminales de millones de personas.
La compañía ha reconocido su existencia a través de un nuevo portal de transparencia desde donde se informarán los problemas técnicos que sufra la herramienta utilizada por 1.500 millones de personas.
La empresa lanzó un nuevo sitio Web en el que enumerará todas las vulnerabilidades que se han identificado –y solucionado– en su servicio de mensajería instantánea, WhatsApp.
Los registros incluirán descripciones detalladas de los errores de seguridad que se han solucionado y un identificador de vulnerabilidades y exposiciones comunes (CVE por sus siglas en inglés), cuando esto sea posible.
Los números CVE sirven para que los investigadores de seguridad puedan rastrear errores o para que las empresas de seguridad puedan emitir alertas de seguridad a sus propios clientes.
El nuevo sitio Web de WhatsApp ha reflejado en sus primeras actualizaciones hasta seis fallos de seguridad que podían provocar ataques de forma remota.
Según WhatsApp, todos los fallos menos uno se solucionaron en el mismo día en el que ocurrieron.
WhatsApp asegura que los piratas informáticos no han hecho estragos con estas vulnerabilidades.
WhatsApp ha identificado las vulnerabilidades bajo los códigos CVE 2020-1894, CVE-2020-1891, CVE-2020-1890, CVE-2020-1889, CVE-2020-1886 y CVE-2019-11928.
Dos de esos fallos se han descubierto a partir de investigaciones de expertos en seguridad informática independiente. Algunos de esos fallos permitían a un atacante llevar a cabo ‘hackeos’ del servicio de manera remota a través de una campaña de envío de enlaces con código malicioso maliciosos o incluso realizando videollamadas.
La empresa explica que muchos de los fallos son descubiertos gracias al programa Bug Bounty, su programa de recompensas. El resto se descubre en revisiones de código rutinarias, mediante el uso de sistemas automatizados.
WhatsApp dice que su nuevo sitio de avisos de seguridad se actualizará mensualmente o antes en caso de que suceda una vulnerabilidad muy grave.
A pesar de su existencia, no se ha especificado en qué momentos se han producido estos fallos, pero se han ido lanzando parches de actualización a lo largo de los últimos meses para solucionar los problemas.
La compañía, además, ha asegurado que no se han explotado estos «bugs» por parte de grupos de cibercriminales. El año pasado, la plataforma propiedad de Facebook descubrió una vulnerabilidad supuestamente explotada por el grupo de ciberespionaje israelí NSO Group, del que se han vinculado otros ataques.
WhatsApp ha sido víctima de importantes ataques en varias ocasiones. En 2019, Facebook denunció a la empresa de vigilancia israelí,NSO Group, por un hackeo masivo a sus usuarios. Según Facebook, los piratas aprovechaban un bug de la función de videollamadas de WhastApp para entrar en los celulares de los usuarios e instalar un spyware (software de vigilancia).
