La compañía de ciberseguridad Kaspersky Lab ha destacado la dificultad técnica que supone aprovecharse de la vulnerabilidad hallada en aplicaciones de mensajería como WhatsApp, a través de la que es posible introducir sin permiso a una persona en un grupo privado si se accede a uno de los servidores de la ‘app’.
El analista senior de Kaspersky Victor Chebyshev ha explicado en un comunicado difundido este viernes por la compañía que el aprovechamiento de esta vulnerabilidad puede suponer «una amenaza seria», especialmente para aquellos usuarios de las aplicaciones que comparten información confidencial en los chats grupales.
No obstante, el representante de la firma rusa ha comentado que para acceder ilegalmente a estas conversaciones, es necesario tener acceso primero al correspondiente servidor de la ‘app’. Chebyshev ha recordado que el análisis presentado por el equipo de criptógrafos de la Universidad Rühr de Bochum (Alemania), descubridores del ‘bug’, «no proporciona un ejemplo real del ataque» y ha añadido que ‘hackear’ estos servidores «no es fácil desde una perspectiva técnica», por lo que necesita «mucho tiempo y esfuerzo».
Esta vulnerabilidad afecta a ‘apps’ como WhatsApp, Threema o Signal, que no utilizan mecanismos de verificación de invitaciones a grupos que sus propios servidores no puedan falsificar, por lo que quien acceda a estos puede incorporar más personas al chat sin la intervención de su administrador. Además, el atacante puede bloquear la aparición de mensajes de advertencia o falsificar las notificaciones que informan de la adición de un usuario más al grupo.
El analista senior de Kaspersky Lab ha explicado que para poder obtener los mismos resultados, los ciberdelincuentes tienen una alternativa «mucho más fácil» si ‘hackean’ directamente el dispositivo móvil de un miembro del grupo, sin necesidad de conseguir el control del servidor.
Para evitar este tipo de ataques, Kaspersky ha recomendado a los usuarios controlar manualmente si se añaden nuevos miembros a los chats grupales, evitar compartir información personal confidencial a través de los mismos e instalar una solución de seguridad en el dispositivo.