Kaspersky alerta sobre una nueva estafa en WhatsApp

Hasta hace poco, si una llamada grupal en WhatsApp ya había comenzado y un participante, por una u otra razón, no podía unirse de inmediato, ya no era posible volver a conectarse a la llamada. Sin embargo, esto ya no es un problema, ya que los desarrolladores han añadido la posibilidad de que los usuarios se unan a una conversación ya en curso por medio de la función “llamadas unibles”. Esta misma función también está disponible en la aplicación “Microsoft Teams”.

Sin embargo, desde el punto de vista de la seguridad, poder unirse a una llamada en curso aumenta el riesgo de espionaje.

“La conclusión es que, si una persona extraña o malintencionada está en un grupo de WhatsApp, no tendrá problemas para conectarse a una llamada. Todo lo que tiene que hacer es esperar a que la mayoría de los participantes se hayan unido y entonces ingresar sin que nadie note su presencia. El intruso tampoco necesita esperar a que se inicie la llamada, ya que puede conectarse en cualquier momento”, señala Victor Chebyshev, investigador principal de seguridad de Kaspersky.

En el ámbito empresarial, este escenario podría generar graves consecuencias. Según datos anónimos de eventos capturados por Kaspersky y facilitados voluntariamente por sus clientes, WhatsApp se encuentra entre los cinco principales servicios web a los que los empleados acceden con mayor frecuencia desde sus dispositivos corporativos. Las estadísticas también indican que aunque Facebook figura entre las cinco aplicaciones más bloqueadas en los dispositivos corporativos, las aplicaciones de mensajería no suelen ser incluidas, probablemente porque se utilizan a menudo tanto para fines laborales como personales. Lamentablemente, estos mismos servicios también son explotados para realizar ataques de phishing y otros tipos de acciones maliciosas.

“Hasta la fecha, la mayor parte del software malicioso se ha centrado en interceptar los mensajes de WhatsApp archivados y las conversaciones en línea, y todavía no hemos encontrado ninguna interceptación de llamadas, y mucho menos de llamadas grupales. Sin embargo, si un dispositivo está infectado, es muy probable que el troyano tenga la capacidad de realizar grabaciones a través del micrófono y la cámara del dispositivo, lo que permite a los ciberdelincuentes escuchar cualquier conversación, independientemente del canal de comunicación utilizado, ya sea una aplicación de mensajería o una llamada de teléfono móvil normal”, explica Chebyshev.

En términos de la seguridad de la app y la nueva función, el investigador destaca que los miembros del grupo -especialmente el administrador- pueden hacer un seguimiento de los participantes y asegurarse de que extraños o personas no deseadas no se unan a la llamada. “Además, la propia app garantiza la privacidad del intercambio de datos en el grupo mediante el uso de la encriptación de extremo a extremo. Así, ni la propia aplicación, ni las personas que intenten realizar cualquier tipo de ataque, podrán interceptar el mensaje o la llamada, incluidas las llamadas de grupo”, subraya.

A pesar de los riesgos asociados al uso de este tipo de apps, Kaspersky recalca las características de seguridad de WhatsApp y ofrece varias recomendaciones para ayudar a limitar el riesgo de ciberataques, entre ellas:

• Revisar que el cifrado de WhatsApp está configurado y advertir a los usuarios explícitamente cuando el cifrado de extremo a extremo no se aplica a un chat específico.
• Recordemos que WhatsApp no almacena los mensajes en sus servidores. Si los ciberdelincuentes entraran en la plataforma, no podrían descifrar ninguno de los mensajes.
• WhatsApp no tiene la “clave” para ver los mensajes encriptados. Por defecto, WhatsApp almacena los mensajes de forma que permite hacer una copia de seguridad en la nube por parte de iOS o Android.
• WhatsApp ofrece una verificación en dos pasos que permite a los usuarios añadir más seguridad a su cuenta estableciendo un PIN necesario para verificar su número de teléfono en cualquier dispositivo.
• En ambientes corporativos, es importante proporcionar una formación básica en materia de ciberseguridad a todos los empleados. Puede hacerse en línea y debe abarcar prácticas esenciales, incluidas aquellas que protegen contra el phishing, el Shadow IT, la gestión de cuentas y contraseñas, la seguridad del correo electrónico, la seguridad de los endpoints y la navegación en Internet. Kaspersky Automated Security Awareness Platform ofrece tal formación de manera fácil y eficaz.

Por último, es importante tener en cuenta que WhatsApp es propiedad de Facebook, lo que a veces se considera una desventaja para la privacidad. La aplicación recibe información de la plataforma y la comparte con otras empresas de Facebook. Esto significa que los datos se comparten con los anunciantes, que los utilizan para llegar a los consumidores.