C¨®mo pueden atacar tus grupos de WhatsApp y c¨®mo evitarlo

Cualquier usuario de WhatsApp que pertenezca a un grupo ha podido ser espiado e incluso ciberatacado durante las ¨²ltimas semanas. La ¨²ltima brecha de seguridad fue detectada el 10 de enero y, aunque ya ha sido solucionada, ha podido ser la causante de suplantaciones. Los enlaces de al menos 4.000 chats grupales han aparecido en el buscador Google al alcance de cualquiera. Gracias a eso, los ciberdelincuentes se han podido unir a grupos privados sin ser descubiertos.

No se sabe cu¨¢nto tiempo llevaban los enlaces en Google, pero s¨ª que han sido al menos varios d¨ªas, en los que los ciberdelincuentes podr¨ªan haber aprovechado para colarse en infinidad de grupos y, como consecuencia, llevar a cabo ciberataques de phishing a trav¨¦s del env¨ªo de direcciones web (URL).

No es la primera vez que se detecta este problema. En 2019 y de nuevo en 2020 se detectaron tambi¨¦n direcciones de grupos de WhatsApp en Google. La empresa asegur¨® haber resuelto este fallo que se produce cuando se crea un enlace para invitar a una persona a unirse a un grupo. Google indexa ese link autom¨¢ticamente y a partir de ah¨ª es accesible para todos los usuarios tras realizar una b¨²squeda precisa.

El phishing es un mecanismo de fraude que permite a los ciberdelincuentes recoger informaci¨®n sensible como nombres de usuario, claves de cuentas o n¨²meros de tarjetas de cr¨¦dito a trav¨¦s de una comunicaci¨®n electr¨®nica. En este caso alguien podr¨ªa, por ejemplo, hacerse pasar por un amigo o un familiar de un miembro del grupo para as¨ª estafar a los usuarios del chat. ¡°A veces no hace falta ni eso. Simplemente cuando los atacantes llevan d¨ªas en el grupo mandan enlaces de contenido malicioso al resto de usuarios, que hacen clic sin pensar que se trata de un desconocido¡±, se?ala Eusebio Nieva, director t¨¦cnico de Check Point para Espa?a y Portugal.

Es un problema que tambi¨¦n puede producirse si se env¨ªa el enlace de invitaci¨®n de manera masiva, ya que la red social permite entrar a un grupo a cualquiera que disponga de la URL.

En Telegram, una plataforma similar, puedes revocar el enlace, crear un segundo enlace o determinar una cierta duraci¨®n para poder acceder a los enlaces de invitaci¨®n. Y en una tercera, Discord se pueden adem¨¢s determinar si los usuarios pueden invitar a otros. ¡°WhatsApp no avisa, ni siquiera a los administradores, de que alguien nuevo se ha apuntado al grupo, por eso los usuarios deben estar atentos. Esa persona va a escuchar y leer todo el contenido con todos los problemas de confidencialidad que eso conlleva¡±, dice Nieva.

Por eso es complicado evitar este tipo de suplantaciones. ¡°El factor humano siempre es el m¨¢s vulnerable, no debemos confiar en alguien solo porque est¨¦ en el mismo grupo de WhatsAapp que nosotros¡±, a?ade Nieva. Permanecer alerta e investigar con qui¨¦n nos comunicamos es fundamental para no caer en este tipo de enga?os. El equipo de ciberseguridad de WhatsApp recomienda que se env¨ªen los links de acceso a los grupos con cautela. ¡°Los enlaces se deben compartir de forma privada con personas que el usuario conozca y en las que conf¨ªe. No deben publicarse en un sitio web de acceso p¨²blico", afirma un portavoz de WhatsApp.

El origen del fallo

El problema ha ocurrido porque Google ha indexado las direcciones de invitaci¨®n a los grupos. El t¨¦rmino indexar significa se refiere en este caso a que un dato o direcci¨®n web aparezca en el buscador. ¡°Google funciona porque obtiene informaci¨®n de todos los sitios web a los que se puede acceder y, con esa enorme base de datos, suministra los enlaces en funci¨®n de la petici¨®n que los usuarios introduzcan en el buscador¡±, se?ala Jos¨¦ Luis V¨¢zquez Poletti, profesor en el departamento de Arquitectura de Computadores y Autom¨¢tica de la Universidad Complutense de Madrid (UCM).

Estos datos no se obtienen porque los trabajadores de la multinacional vayan recogiendo informaci¨®n de las webs una por una. Se hace a trav¨¦s de sofisticados y rapid¨ªsimos bots, mucho m¨¢s potentes que los de Twitter o Facebook. Los que usa Google est¨¢n tremendamente automatizados. Se les llama ara?as porque son programas que recorren los enlaces de la web de forma sistem¨¢tica como si se movieran por una telara?a.

Cada vez que un bot encuentra un enlace lo copia, y a partir de ¨¦l contin¨²a buscando metadatos asociados. Por eso si halla una URL de un grupo de WhatsApp, como pas¨® en 2019 y 2020, el propio sistema sigue encontrando m¨¢s solo con tirar del hilo. ¡°Originalmente el fallo se debi¨® a que un comando del fichero de WhatsApp Web no era correcto, es decir, no hab¨ªa ninguna instrucci¨®n que impidiera cargar esos datos en Google¡±, dice el profesor V¨¢zquez Poletti.

¡°Es posible que las ¨²ltimas actualizaciones de WhatsApp fueran desarrolladas por un equipo distinto del original y por eso determinados aspectos de la configuraci¨®n no se han tenido en cuenta¡±, especula el profesor V¨¢zquez Poletti. ¡°Ese ha podido ser el error porque cuando heredas un proyecto de otra persona, por mucha documentaci¨®n que exista, no tienes una visi¨®n global¡±, destaca.

El problema es que ya ha ocurrido tres veces, aunque la multinacional estadounidense asegura que estaba corregido. ¡°Desde marzo de 2020 WhatsApp incluye la etiqueta noindex en todas las p¨¢ginas de enlaces. Tambi¨¦n hemos hablado con Google para que no indexe estos chats¡±, concluye un portavoz de WhatsApp.