Los mensajes multimedia de WhatsApp no "hackean" el teléfono ni permiten hacer phishing

  • Este artículo data de hace más de un año.
  • Publicado el 2 de julio de 2020 a las 20:34
  • Modificado el 2 de julio de 2020 a las 21:27
  • 4 minutos de lectura
  • Por Ana PRIETO, AFP Argentina

Copyright © AFP 2017-2024. Cualquier uso comercial de este contenido requiere una suscripción. Haga clic aquí para obtener más información.

Un mensaje ampliamente compartido en WhatsApp asegura que "piratas informáticos en China" han hackeado más de 400 millones de cuentas a través de gifs, videos e imágenes que aparentan saludos de buenos días o de buen fin de semana, pero que en realidad ocultan "códigos de phishing" que pueden robar los datos de quien los recibe en su teléfono móvil. Las afirmaciones, sin embargo, son falsas y los detalles técnicos utilizados para describir el delito son falaces.

“Por favor, no envíe imágenes pre-elaboradas de los: Buenos días, Buenas noches, ó Que tengas una feliz semana... como imágenes y/o videos, etc .. [sic]”, recomienda un mensaje llegado al WhatsApp de AFP Factual para su análisis. “Los informes indican que los piratas informáticos en China han diseñado imágenes, videos y películas tan perfectamente para ocultar los códigos de phishing dentro de ellos, que cuando enviamos y reenviamos a nuestros contactos, estamos enviando información para poder robar información personal de los dispositivos”.

Las mismas afirmaciones han circulado también en Facebook desde 2017 (1, 2).

Captura de pantalla de mensaje de WhatsApp realizada el 1 de julio de 2020

¿Phishing a través de archivos multimedia?

“Esta cadena circula desde hace un par de años y es completamente falsa”, dijo a AFP Factual Carlos Ramírez Castañeda, especialista en ciberseguridad y cibercriminalidad.

Luis Nocera, presidente de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC), está de acuerdo: “No es cierto lo que dice ese mensaje”.

La Asociación describe al phishing, también llamado “ataque de suplantación de identidad”, como “una metodología en la que los ciberdelincuentes utilizan el envío de correos electrónicos u otros medios [mensajería instantánea o llamados telefónicos] intentando, en muchos casos de manera eficiente, robar datos de los usuarios sin su consentimiento”.

Para lograrlo, se “disfrazan” de entidades de confianza: bancos, compañías de servicios públicos y proveedores de tarjetas de crédito, entre otros. “El contenido del mensaje incluye enlaces a sitios externos o archivos adjuntos. Estos sitios, también tienen un diseño que intenta tener la misma estética y funciones de la entidad legítima, pero en realidad se trata de una copia del original donde se invita a la víctima a introducir sus datos personales”. En el caso de llamados telefónicos, alguien afirmará trabajar para una institución establecida para que la potencial víctima dicte su información personal.

Sin embargo, el supuesto delito que se describe en el mensaje viral no coincide con la metodología del phishing. A través del envío de una imagen, un video o un gif que contiene mensajes de “buenos días” o “buen fin de semana”, “no se está generando un engaño para que el usuario ceda sus datos personales”, remarcó Ramírez Castañeda.

“El phishing necesita una interacción para obtener un dato determinado”, agregó Nocera. “Necesita que el usuario dé cierta información que solo se puede obtener mediante un intercambio”.

“Programas embutidos que roban datos personales”

El mensaje viral recomienda eliminar “los diseños de saludo anteriores y posteriores [...]” para así evitar “que los hackers hagan phishing. ELLOS CONTIENEN PROGRAMAS EMBUTIDOS ‘GIF’ que roban sus datos personales, números de tarjeta de crédito y Pin's [sic]”.

La publicación confunde dos tipos de ciberataques: el phishing y el malware. En el caso del primero, es preciso que el usuario ceda sus datos. El malware, en cambio, hace referencia a un “software malicioso que se puede descargar o aplicaciones que se ejecutan en sitios web y afectan a sus visitantes”, según la definición de Google.

“En un primer momento los sistemas de mensajería instantánea contaban con vulnerabilidades en las que sí se podía atacar al dispositivo”, contó Ramírez Castañeda.

Por ejemplo, en 2019 hubo una vulnerabilidad en WhatsApp para Android, llamada CVE-2019-11932, a través de la cual los atacantes podían utilizar archivos gif creados con fines maliciosos para permitir la ejecución remota de código. “Cuando un atacante identifica esas vulnerabilidades las aprovecha, y por eso los fabricantes tienen que parcharlas”, explicó el especialista. En efecto, WhatsApp y Android solucionaron el problema en sus versiones subsiguientes.

“Las nuevas versiones de Android bloquean por default la instalación de aplicaciones de terceros o de origen desconocido”, agregó. “Si un atacante quiere tomar control de tu teléfono, primero necesitará tus permisos”.

Actualmente gifs, imágenes y videos no funcionan como instaladores de código en la plataforma WhatsApp y por tal motivo no pueden ser el canal de ingreso de un atacante: “A día de hoy no es posible tomar control de un celular a través de archivos multimedia, pues estos se ejecutan en la plataforma como mera visualización del contenido”, concluyó Ramírez Castañeda.

En resumen, es falso que “Noticias internacionales de Shangai” haya denunciado 400 millones de casos de phishing vía archivos multimedia en WhatsApp. Ese medio de comunicación no existe, ni tampoco el hecho. Además, la técnica que se describe en la publicación viral no se condice con la definición de phishing, que requiere una interacción en la que un usuario ceda sus datos a un atacante. Por último, a día de hoy no es posible tomar control de teléfonos móviles de terceros a través de archivos multimedia enviados por WhatsApp.

EDIT: Cambia fecha de registro más antiguo del mensaje en tercer párrafo.

¿Duda sobre la veracidad de una información, una foto o un video?

Contáctenos

Artículo anterior Artículo siguiente