Esta es la peligrosa vulnerabilidad de WhatsApp que Meta no va a solucionar

WhatsApp tiene más de 2.000 millones de usuarios en el mundo, una base tan amplia que obliga a Meta a ofrecer la máxima seguridad contra ciberataques en su plataforma de mensajería. Recientemente, un investigador descubrió un importante bug o fallo en la versión para Windows de WhatsApp que reportó a Meta, pero que esta no tiene, por el momento, ninguna intención de solucionar y que permite ejecutar determinados tipos de archivos desde la aplicación sin que el receptor reciba ningún tipo de advertencia al abrirlos, lo que es una potencial vía de entrada de malware en el equipo.

El descubrimiento lo llevó a cabo el investigador de ciberseguridad Saumyajeet Das quien estuvo probando diferentes tipos de archivos, potencialmente peligrosos, que podían adjuntarse en un chat de WhatsApp. Por ejemplo, si se envía un .EXE -archivo autoejecutable- WhatsApp se lo muestra al receptor y le da dos opciones: Abrir o Guardar como. Si escoge la primera, WhatsApp impedirá que pueda ejecutarse desde la aplicación y la única opción que deja al usuario es descargarlo en su equipo para iniciarlo desde allí y bajo su responsabilidad. Das encontró tres tipos de archivos que sí se podían ejecutar desde WhatsApp sin que la app los bloquee: .PYZ -aplicación ZIP de Python-, .PYZW -programa PyInstaller- y .EVTX -archivo de registro de eventos de Windows-.

Para que un ataque, utilizando alguno de estos tipos de archivos, sea exitoso el usuario debe tener Python instalado en su equipo, lo que limita la vulnerabilidad principalmente a desarrolladores de software y otros usuarios avanzados. Python es un lenguaje de programación de alto nivel y de propósito general que se utiliza en aplicaciones para desarrollo web, análisis de datos, inteligencia artificial, automatización de tareas, desarrollo de software y otros propósitos.

Posteriormente, el medio Bleeping Computer confirmó que WhatsApp no bloquea la ejecución de archivos Python y descubrieron que lo mismo ocurre con los scripts PHP. PHP es otro lenguaje de programación de propósito general que se emplea en una amplia gama de aplicaciones web, desde sitios web simples y blogs hasta aplicaciones web complejas y sistemas de gestión de contenidos como WordPress, el más usado para construir sitios web, Joomla y Drupal.

La respuesta de Meta

Das informó el problema a Meta el 3 de junio y la empresa respondió el 15 de julio diciendo que el problema ya había sido reportado por otro investigador. 'He informado de este problema a Meta a través de su programa de recompensas por errores, pero desafortunadamente lo cerraron como no aplicable. Es decepcionante, ya que es un fallo sencillo que podría mitigarse fácilmente', ha explicado el investigador al medio.

Un portavoz de WhatsApp señaló Bleeping Computer que no lo veían como un problema, por lo que no había planes para bloquear la ejecución de archivos Python, sin hacer referencia al caso de los scripts PHP.

'Hemos leído lo que el investigador ha propuesto y apreciamos su presentación. El malware puede tomar muchas formas diferentes, incluidas las a través de archivos descargables destinados a engañar a un usuario. Es por eso que advertimos a los usuarios que nunca hagan clic o abran un archivo de alguien que no conocen, independientemente de cómo lo recibieron, ya sea a través de WhatsApp o cualquier otra aplicación', explicó.

Das cree que con agregar las extensiones .pyz y .pyzw a su lista de bloqueos, Meta solucionaría el problema con Python y que 'no solo mejoraría la seguridad de sus usuarios, sino que también demostraría su compromiso de resolver prontamente las preocupaciones de seguridad'.