Publicado 10/09/2024 10:50

BOLIVIA.- Descubren falla en WhatsApp Web que permite guardar archivos enviados en modo de visualización única

Latam.-Portaltic.-Una falla en WhatsApp Web permite guardar contenidos enviados con el modo de visualización única
Latam.-Portaltic.-Una falla en WhatsApp Web permite guardar contenidos enviados con el modo de visualización única - META

BOLIVIA, 10 Sep (EUROPA PRESS)

Un fallo crítico fue descubierto recientemente en la versión web de WhatsApp, exponiendo un error que permite a los destinatarios capturar y almacenar fotografías y vídeos enviados con la modalidad de visualización única, desafiando el propósito de privacidad de esta función. Desde su lanzamiento en 2021, esta característica buscaba proteger la confidencialidad del contenido sensible, garantizando su eliminación después de ser visto por primera vez.

WhatsApp precisa en su sitio web que, tras recibir un archivo con esta configuración, el destinatario tiene hasta 14 días para abrirlo antes de que desaparezca del chat, subrayando que no debería ser posible capturar pantalla de estos archivos, en un esfuerzo por salvaguardar la privacidad y el consentimiento del remitente.

Sin embargo, el equipo de Zengo X Research Team descubrió que esta garantía no se mantiene en la versión web del servicio. Según Tal Be'ery de Zengo X, esta vulnerabilidad, que califica de implementada "de manera negligente" por Meta, permite a un usuario malintencionado copiar y distribuir el contenido como si fuese un mensaje común.

Esta modalidad de visualización única se presume más segura en dispositivos móviles, donde el sistema operativo puede limitar ciertas acciones como la captura de pantalla o la descarga de contenido. Sin embargo, Be'ery reveló que, debido a que el API de WhatsApp Web no aplica el mismo protocolo de cifrado, cualquier cliente desde cualquier plataforma puede derogar la restricción y manejar el mensaje como uno ordinario.

Los investigadores encontraron métodos para acceder al contenido cifrado extrayendo la URL desde el código de la plataforma, utilizando herramientas como OpenSSL y mediaKey, lo que demuestra una vulnerabilidad significativa. Be'ery, quien reportó el fallo a Meta a través de su plataforma de recompensas el 26 de agosto, argumenta esta brecha de seguridad como crítica porque permite la creación de copias exactas de los archivos sin intervención humana, solo mediante software.

Meta confirmó que ya están en proceso de desarrollar actualizaciones para corregir este error en la versión web, instando a los usuarios a compartir contenido de visualización única exclusivamente con contactos de confianza. "Seguimos advirtiendo a los usuarios que solo envíen mensajes de visualización única a personas que conocen y en las que confían", comunicó Zade Alsawah, portavoz del servicio, a TechCrunch, resaltando la importancia de mantener cautela en el uso de estas características supuestamente seguras.

Contador