Yahoo.– Desde la leve inquietud hasta la alarma nerviosa, pasando por una duda más que razonable, esas fueron las emociones que experimentaron hoy los 1500 millones de usuarios de WhatsApp.
Facebook , dueña del mensajero , había solicitado desde ayer actualizar con urgencia la app en todas las plataformas móviles. ¿El motivo? Una vulnerabilidad grave permitía a un atacante tomar control del dispositivo mediante una simple llamada de voz. No una llamada telefónica, sino una llamada de voz de WhatsApp.
Poco después, el Equipo de Respuesta a Emergencias Informáticas de Estados Unidos -US-CERT, por sus siglas en inglés; el organismo nació en 1988 como resultado del devastador ataque del gusano Morris- emitió un comunicado al respecto. Así que la cosa era seria.
Según el escueto aviso de Facebook al que remitía el CERT, la falla, identificada como CVE-2019-3568 (CVE viene de Common Vulnerabilities and Exposures), se encuentra en el componente de voz sobre IP de WhatsApp. Es decir, el que se usa para las llamadas (no para los mensajes o los audios), y permite la ejecución remota de código. De este modo, es posible instalar un software malicioso en el teléfono de la víctima. Por lo que se sabía hasta hoy, en este caso se trata de un spyware, un tipo de software espía. Actualización: Iván Arce, Director Ejecutivo de Tecnología de la empresa francesa de seguridad informática Quarkslab, informó a LA NACION que “la diferencia entre entre esta vulnerabilidad y otras es que Facebook indicó que se lo estaba usando para instalar en el smartphone un programa espía de la empresa NSO, que solo le vende a agencias de inteligencia y fuerzas de seguridad”.
Para poner en práctica el ataque, solo se necesita una llamada de WhatsApp al teléfono que se pretende comprometer. No es menester que la víctima atienda; de todos modos el spyware se instalará en el smartphone. Hasta donde se sabía, el ataque tiene detrás a una organización calificada, capaz de producir armas cibernéticas avanzadas, y estaba dirigido a un grupo específico de blancos.
La vulnerabilidad, concluye el aviso de Facebook, afecta a WhatsApp en Android, iOS (iPhone, iPad), Windows Phone y Tizen (un sistema operativo basado en Linux para equipos de Samsung). El informe tiene fecha del ayer.
Escenario cambiante
Las vulnerabilidades informáticas de alta prioridad -como, por ejemplo, las que permiten la ejecución remota de código, aunque este no es el único parámetro por considerar- de ninguna manera son la excepción. Son la regla. El US-CERT publica, redondeando, unas 3500 fallas de esta clase por año. Dos conclusiones surgen de esta cifra.
La primera es que hay una crisis de seguridad informática manifiesta, que se traduce en brechas de muchas clases, desde el robo de dinero hasta la sustracción de cientos de millones de datos personales por año; por ejemplo, nombres de usuario y sus correspondientes contraseñas. Organizaciones de toda talla se ven afectadas, pero a la larga el más perjudicado es el ciudadano de a pie. Hace dos años, piratas informáticos robaron de las bases de datos de la compañía Equifax los datos de más de 145 millones de estadounidenses.
La segunda conclusión es que hay que instalar las nuevas versiones de apps y actualizaciones de los sistemas operativos, incluidos los móviles, tan pronto están disponibles. El catastrófico ataque del WannaCry (un ransomware), en 2017, se habría evitado en gran medida, si las actualizaciones de Windows hubieran sido instaladas a tiempo.
En total, el incidente ha venido a derribar una de las ideas más aceptadas de la revolución digital. Esto es, que los programas, las apps, los sistemas operativos y el software en general son muy seguros. Con unas 3500 vulnerabilidades de alta prioridad por año, el escenario adopta una coloratura bien diferente. Y faltan contabilizar aquí, entre otras, las temidas fallas de Día Cero (Zero-Day, en inglés), es decir, aquellas que no son conocidas por los fabricantes hasta que empiezan a ser explotadas por los delincuentes informáticos.
