La versión web de WhatsApp enfrenta una crítica vulnerabilidad de seguridad que permite a los destinatarios de los mensajes enviados con la modalidad de visualización única hacer capturas de pantalla o almacenar el contenido de esas fotografías y vídeos, poniendo en riesgo la privacidad de los usuarios que los envían.
Esta función de visualización única, lanzada por WhatsApp en 2021, está diseñada para brindar mayor privacidad a los usuarios al eliminar automáticamente el contenido multimedia una vez que ha sido visto. Sin embargo, los investigadores del Zengo X Research Team han descubierto una falla en la versión web de la aplicación que anula esta protección.
EL FALLO QUE COMPROMETE LA PRIVACIDAD DE LOS MENSAJES
Según los expertos, la vulnerabilidad radica en que el servidor API de WhatsApp Web no aplica el protocolo de cifrado necesario para garantizar la privacidad de los mensajes de visualización única. Esto permite que un usuario malicioso pueda descargar el contenido y anular la orden de «Ver solo una vez», convirtiéndolo en un archivo normal que puede ser reenviado y compartido.
Los investigadores han probado dos formas de acceder a estos contenidos protegidos: la primera, mediante la extracción de la URL del archivo desde el código de la plataforma y su posterior descifrado; y la segunda, a través de la inclusión de una etiqueta «falso» que revierte el formato y convierte las imágenes, vídeos y archivos en medios normales descargables.
EL IMPACTO DE LA VULNERABILIDAD Y LA RESPUESTA DE META
Según los expertos, esta falla es preocupante porque permite a los atacantes acceder a réplicas digitales exactas de los archivos presuntamente protegidos sin necesidad de intervención humana. Además, los ciberdelincuentes no tienen que esperar a que se reproduzca todo el contenido para grabarlo, ya que la copia es instantánea.
Meta, la empresa matriz de WhatsApp, ha confirmado que está trabajando en la implementación de actualizaciones para solucionar este error en la versión web de la aplicación. No obstante, han reiterado la recomendación a los usuarios de enviar mensajes de visualización única solo a personas de confianza, dada la gravedad de la vulnerabilidad descubierta.
