Meta corrige la función de privacidad «Ver una vez» de WhatsApp que se omite fácilmente

Ciberdelincuentes están aprovechando una falla de privacidad en WhatsApp, una aplicación de mensajería instantánea con más de 2 mil millones de usuarios en todo el mundo, para eludir la función «Ver una vez» de la aplicación y volver a ver los mensajes.

Meta afirma que la función «Ver una vez» de WhatsApp (introducida hace tres años) permite a los usuarios compartir fotos, vídeos y mensajes de voz de forma privada, ya que el destinatario no debería poder reenviar, compartir, copiar o hacer capturas de pantalla de sus mensajes porque desaparecerán automáticamente de los chats después de abrirlos una vez.

«Una vez que envíes una foto, un video o un mensaje de voz que puedan verse una vez, no podrás volver a verlos», explica la empresa en su sitio web de soporte.

«Cualquier foto o video que envíes no se guardará en la Galería o Fotos del destinatario. El destinatario tampoco puede tomar una captura de pantalla de nada que envíes usando la opción de ver una vez».

Sin embargo, la opción de «Ver una vez» solo impedirá que los usuarios de WhatsApp hagan capturas de pantalla de lo que se está enviando en dispositivos móviles porque las plataformas de escritorio y web no admiten el bloqueo de capturas de pantalla.

Además, el equipo de investigación de Zengo X descubrió que Meta implementó esta función de lo que los investigadores describieron como una «manera negligente», lo que permite a los atacantes guardar y compartir fácilmente copias de los mensajes de «Ver una vez».

«Habíamos revelado responsablemente nuestros hallazgos a Meta, pero cuando nos dimos cuenta de que el problema ya se estaba explotando, decidimos hacerlo público para proteger la privacidad de los usuarios de WhatsApp», dijo el director de tecnología de Zengo, Tal Be’ery.

Según descubrieron los investigadores de seguridad de Zengo, la función «Ver una vez» se utiliza para enviar mensajes multimedia cifrados a todos los dispositivos del destinatario, mensajes que son casi idénticos a uno normal pero que incluyen una URL a los datos cifrados alojados en el servidor web de WhatsApp («blob store») y la clave para descifrarlos. Además, los mensajes «Ver una vez» establecen una bandera «Ver una vez» en «verdadero».

Be’ery explicó que la función «Ver una vez» de WhatsApp permite a los usuarios enviar mensajes que solo deben verse una vez. Aún así, los mensajes se envían a todos los dispositivos del receptor, incluidos aquellos que no tienen permiso para mostrarlos. Además, los mensajes no se eliminan inmediatamente de los servidores de WhatsApp después de la descarga.

Esto hace imposible limitar la exposición de los medios a entornos y plataformas controlados, especialmente porque algunas versiones de los mensajes «Ver una vez» también contienen vistas previas de medios de baja calidad que se pueden ver sin descargar.

Además, los mensajes «Ver una vez» funcionan como los mensajes normales, pero con una bandera «Ver una vez». Sin embargo, los atacantes pueden eludir esta función de privacidad configurando la opción «ver una vez» en falso, lo que permite descargar, reenviar y compartir el mensaje.

Si bien los investigadores de Zengo son los primeros en informar el problema a Meta y publicar un informe que detalla este problema de privacidad, la falla se ha utilizado de forma abusiva para guardar mensajes «ver una vez» durante al menos un año, y quienes la explotan incluso han creado complementos para el navegador para agilizar todo el proceso.

SendmarcZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.