WhatsApp vulnerable


¡Alerta en el Café! Un estudiante holandés Thijs Alkemade, descubre una vulnerabilidad en la aplicación WhatsApp, que permite que tus conversaciones personales queden expuestas cuando uses una red WiFi monitoreada por un intruso.

El problema reside en que, de acuerdo con las investigaciones de Thijs Alkemade, el mecanismo utilizado por WhatsApp (basado en el cifrado RC4) está mal implementado y puede ser vencido

, obteniendo como resultado el texto original sin cifrado. Debido a que WhatsApp utiliza la misma clave para cifrar mensajes entrantes y salientes, a partir de dos mensajes cifrados con la misma clave es posible cancelar matemáticamente esta, deduciendo el contenido de algunos bytes en los mensajes.

El investigador explica que, si bien esta técnica no revela en forma directa todos los bytes de un mensaje, muchos de ellos pueden derivarse dado que la información tiene una estructura predecible.

 




Esta es la nota de prensa:

Una vulnerabilidad en la aplicación fue encontrada por un estudiante holandés

Intrusos podrían tener acceso a conversaciones de WhatsApp

Los expertos recomiendan no hacer uso de este servicio en redes inalámbricas abiertas, ya que es más fácil para ciberdelincuentes descifrar la información

De acuerdo con las investigaciones realizadas por un estudiante de posgrado de la Universidad de Utrecht en Holanda, el servicio de mensajería instantánea WhatsApp posee fallas en el cifrado de los mensajes, lo cual podría ser aprovechado por ciberdelincuentes escuchando en la red, para lograr acceso a las conversaciones transmitidas.

Según relata el blog de ESET Latinoamérica, WhatsApp utiliza el cifrado de datos en sus comunicaciones, dado que los mensajes son transmitidos por el aire y pueden ser escuchados por cualquiera que tenga un dispositivo con acceso a la red, como un smartphone. Así, las conversaciones viajan en un formato que resulta inentendible para aquellos intrusos que quieran acceder a los mensajes.

El problema reside en que, de acuerdo con las investigaciones de Thijs Alkemade, el mecanismo utilizado por WhatsApp (basado en el cifrado RC4) está mal implementado y puede ser vencido, obteniendo como resultado el texto original sin cifrado. Debido a que WhatsApp utiliza la misma clave para cifrar mensajes entrantes y salientes, a partir de dos mensajes cifrados con la misma clave es posible cancelar matemáticamente esta, deduciendo el contenido de algunos bytes en los mensajes. El investigador explica que, si bien esta técnica no revela en forma directa todos los bytes de un mensaje, muchos de ellos pueden derivarse dado que la información tiene una estructura predecible.

Ante una situación como esta es necesario plantear cuáles son las implicaciones para los usuarios. Para ello, debe considerarse que WhatsApp es una aplicación disponible para una gran variedad de smartphones de tipo Android, Blackberry o iOS, entre otros. En el caso en que la aplicación se utilice con la red de datos del proveedor de servicio de telefonía (por ejemplo, una red 3G) es mucho más difícil que un atacante logre acceso a los datos, dado que la comunicación entre el teléfono y la antena celular tiene otro nivel de cifrado. Sin embargo, si los mensajes viajan por una red WiFi, un intruso monitoreando el tráfico en dicha red podría explotar la vulnerabilidad descrita.

Adicionalmente, resulta fundamental destacar el caso de las redes inalámbricas abiertas que pueden encontrarse en lugares públicos. Así como no es recomendable realizar tareas bancarias online en estas redes gratuitas, ahora será aconsejable no utilizar WhatsApp en ellas, ya que nunca se sabe quién está leyendote.

# # #

Acerca de ESET

Fundada en 1992, ESET es una compañía global de soluciones de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava (Eslovaquia), con centros de distribución regionales en San Diego (EE.UU.), Buenos Aires (Argentina), y Singapur, con oficinas en Sao Paulo (Brasil), México DF (México), Praga (República Checa) y Jena (Alemania). ESET ® cuenta con centros de investigación de malware en Bratislava, San Diego, Buenos Aires, Singapur, Praga, Košice (Eslovaquia), Cracovia (Polonia), Montreal (Canadá), Moscú (Rusia) y una amplia red de socios en más de 180 países.

Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

ESET cuenta también con un largo historial de reconocimientos por parte de prestigiosos laboratorios de la industria: su solución ESET NOD32 logra más premios de Virus Bulletin que ningún otro producto antivirus disponible, detectando consistentemente todos las muestras activas (In-the-Wild) sin generar falsos positivos.

Por otra parte, ESET Latinoamérica cuenta con ESET Security Services, a través de la cual se ofrecen servicios de seguridad de la información a empresas de la región. Los mismos tienen como fin evaluar de manera objetiva el estado de todos los aspectos de la seguridad de la información en las compañías, desde los técnicos hasta los legales y normativos.

La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio.

ESET Latinoamérica es una
compañía socialmente responsable que entiende el RSE como una forma de gestión alineada al negocio trabajando con todos sus públicos: educando y protegiendo a la comunidad, cuidando el medio ambiente, beneficiando y desarrollando a sus colaboradores; trabajando y reconociendo a sus Partners y Distribuidores en la región. Con estas iniciativas, ESET Latinoamérica busca dar a conocer sus valores institucionales y devolver a la comunidad parte de lo que ella entrega para que la compañía pueda desarrollarse y seguir creciendo.

Tags: , ,

Author:Antonio E. DaSilva

Comunicador social de amplia trayectoria en los llanos centrales. Las llamadas al aire y el sonido digital usando MiniDisk en entrevistas y música, fueron introducidas por este innovador locutor. Director Fundador del Diario Visión Apureña, único rotativo a color del estado Apure; Director de la estación de radio Calle 90.9 FM en la Villa de Todos Los Santos de Calabozo, fue uno de los primeros en usar las Redes Sociales y junto a Hugo Londoño; hacen historia en el periodismo Web 2.0, convirtiéndose en “Influencer” de gran valía en Iberoamérica.
  • Luis Guillermo

    Eso representa amenaza en rusia, israel, iran, o esos países que exportan o sacan hackers, aqui en Venezuela quien va a estar pendiente de eso. Aqui son profesionales en extorsionar, matraquear, robar, lanzar la basura en la calle, etc etc etc.

    • GarCrow16

      chamo te informo, que aquí en Venezuela hay también sus hackers, tanto asi que si investigas un poquito, sabras de uno que ingreso al PENTAGONO.

      si no me crees Googlea un poco y el mismo pentágono reconocio que ese hack había vulnerado su seguridad Su Nombre (Rafael Nuñez)

      • Luis Guillermo

        Aja. Pero resulta que Rafael Núñez no va a estar en toda venezuela hackeando whatsapp

        • EAG

          jajajajaja coño de la mad……. Bueno eso es verdad

  • EAG

    Eso fue un holandes que queria ver las conversaciones de la jeva y se esmero en buscar y encontrar como hacerlo…. Sera la unica plataforam a los que los fulanos hacker se dedican a hacer este tipo de cosas porque no se lee de otra si no siempre lo mismo Whatsapp.

    • Luis Guillermo

      Propaganda barata para desprestigiar a Whatsapp. Pero hagan lo que hagan no lo desbancaran del primer puesto y mucho menos el moribundo BBMSN.

      • EAG

        Correcto, la nota completa y dice asi, “si un usuario se esmera puede comprometer la vulnerabilidad” eso es como tener un carro nuevo te dicen es un carro sin ningun detalles de nada y hasta irrompible, esmerate a dañarlo y te aseguro que lo ponen patas para arriba, que se esmeren en las otras mensajerias y veran que tambien se les consiguen fallos porqeu ninguna es perfecta.

        • Luis Guillermo

          Exacto. en resumen, pura cochina envidia.

      • EAG

        Y como usted dice aqui en venexzuela estan es pendiente de otras cosas no de eso, otra cosa es quien se va poner en un area wifi publica o peor aun en una monitorizada, vas a sacar supongo unan portatil y dedicarse a eso.

      • DoComment

        Ya te vere cuando tu novia o los panas o incluso el ligue tenga BBM y te lo bajes solo para eso. JAJAJAJA…

  • Zcoold

    Siempre me ha parecido raro en esta pagina como sale un post sobre lo bueno de blackberry y ponen uno de lo malo que es whatapps y lo vulnerable que no es mentira ojo, pero que paso con las noticias que decían que intel google y microsoft tenían a la vista a blackberry o el desplome de blakberry en estos días hay mucha noticias sobre blackberry y aquí ninguna, solo lo bueno y no creo que el BBM desbanque a what otros lo han intentado pero nada

    • DoComment

      Cual desplome de BlackBerry?? Eso ya fue hace semanas pana. Por eso no hay noticias ya. Porque ya se desplomo, no hay mas que informar, solo se esta esperando a NOVIEMBRE a que se concrete la compra, no habra mas noticias hasta esa fecha.

      Ademas, quien esta hablando de BlackBerry aca??? Tu no te das cuenta de que este NO es un post echandole pestes a WhatsApp, es un post patrocinado por ESET antivirus que se publicita en la pagina. Siempre que sale una noticia sobre “alguna vulnerabilidad en Whatsapp, MAC, etc, etc, etc” siempre es un post patrocinado por ESET xD….