Expertos HC

¿Afecta a tu coche la última vulnerabilidad de WhatsApp?

Un fallo en la aplicación de mensajería permite a un atacante ver todo lo que hagas en tu smartphone. Con las aplicaciones que conectan el móvil al coche, ¿podrían espiar tu vehículo?

Imagen creativa en la que un teléfono móvil se ve extendido, convirtiéndose en una carretera por la que circulan varios vehículos

Hace una semana, conocíamos la noticia de la grave vulnerabilidad descubierta en el popular sistema de mensajería WhatsApp. Un fallo que permitía a un atacante ejecutar código remoto en su dispositivo. Dicho en otras palabras, instalar malware que permitiese monitorizar y espiar en remoto toda la actividad de un usuario en su smartphone. Todo ello, a través de una simple llamada de voz, sin ninguna interacción por parte del usuario víctima. Además, una vulnerabilidad que curiosamente era independiente a la plataforma en la que se ejecutara WhatsApp, ya que tanto dispositivos basados en Android como en iOS o Windows Phone eran vulnerables. Esto es así porque como informaban oficialmente desde Facebook, la vulnerabilidad se encontraba en la implementación que WhatsApp hacía de la pila VOIP.  

El hecho de poder ejecutar código remoto en dispositivos de cualquier plataforma, a través de una vulnerabilidad en el sistema de mensajería líder por antonomasia, desplegado en millones de dispositivos por todo el mundo, es lo que incrementaba exponencialmente el impacto que dicho fallo podría ocasionar si se empezase a explotar de manera masiva. Es por ello que desde WhatsApp se recomendaba públicamente a todos los usuarios a actualizar urgentemente la aplicación en sus dispositivos de cara a estar protegidos de la vulnerabilidad.

¿A quién se dirigen estos ataques?

Según se haya podido verificar desde Facebook, no se tiene constancia de que hayan sido muchos los usuarios, ya que las víctimas probablemente fuesen usuarios con perfil específico para ser objetivo de ataques dirigidos. Uno de dichos objetivos ha sido un abogado de Reino Unido dedicado a la defensa los derechos humanos. Su dispositivo fue comprometido con el sofisticado malware “Pegasus” atribuido a la empresa “NSO Group”, conocida en el sector por desarrollar soluciones ofensivas de espionaje para gobiernos. Finalmente, el ataque fue bloqueado por WhatsApp, según se afirmaba desde Citizen Labs, una institución de la Universidad de Toronto dedicada a la investigación de la seguridad y derechos humanos en el ciberespacio. 

El malware «Pegasus» ya saltó a la palestra en 2016, en un intento de ataque dirigido contra Ahmed Mansoor, un activista que también lucha contra los derechos humanos en Emiratos Árabes Unidos. De hecho, Mansoor había sido objetivo de diferentes intentos de ataques por parte de su gobierno utilizando otras soluciones ofensivas muy sofisticadas como FinFisher en 2011 o herramientas desarrolladas por la conocida empresa Hacking Team en 2012, compañía del mismo palo que NSO Group, en lo que al desarrollo de soluciones ofensivas de espionaje para gobiernos se refiere. 

El ataque al que hacemos referencia en 2016, fue a raíz de dos SMS sospechosos que Mansoor recibió en su dispositivo y que envió a investigadores de Citizen Lab. La investigación descubrió que se trataba de una vulnerabilidad extremadamente sofisticada, compleja y hasta la fecha con pocas probabilidades de encontrarse. Una vulnerabilidad que permitía hacer en remoto un jailbreak del un iPhone y con ello poder troyanizar el dispositivo. Esto de hecho motivó la actualización del sistema operativo iOS a la versión 9.3.5, ya que Apple desconocía la vulnerabilidad (de ahí que fuera un zero day) y fue informada por la gente de Citizen Lab a raíz del intento de ataque a Masoor. 

Como vemos, se trata de vulnerabilidades que no están al alcance de cualquiera, con un impacto devastador y que generalmente no se conocen con excesiva frecuencia. De ahí que puedan ser altamente cotizadas por los diferentes tipos de actores interesados: gobiernos, estados, agencias de inteligencia, fuerzas y cuerpos de seguridad. Es por ello que dichos actores las utilizarán para explotar a objetivos concretos que les sean de relevancia en ataques específicos y dirigidos, y no las vayan a “malgastar” para comprometer a usuarios corrientes. 

No obstante, esto no quiere decir que tengamos que bajar la guardia, despreocuparnos y no tomar las acciones pertinentes para fortificar nuestros dispositivos y proteger nuestra seguridad. Es por ello que debemos de seguir las buenas directrices de seguridad que siempre se recomiendan. De hecho, en este caso la solución pasa con seguir la más importante y repetida de todas ellas:  actualizar nuestro dispositivo. Algo que como ya hemos comentado WhatsApp ya se encargó de anunciar públicamente al conocer la vulnerabilidad, junto con medios técnicos y generalistas de todo el mundo, por lo que probablemente todos lo habréis hecho ya.

¿Afecta a los coches?

¿Podría afectar esta vulnerabilidad a tu coche? Ya sabes que mediante las aplicaciones Android Auto y Apple CarPlay es posible visualizar los mensajes de Whatsapp del móvil en la pantalla central de los vehículos, algo cada vez más habitual. Sin embargo, estos sistemas solo se limitan a hacer de interfaz para mostrar las aplicaciones de nuestro móvil y nunca se procesaría la aplicación de mensajería desde el coche. Por tanto, no hay mucho que hacer en este sentido en lo que respecta a sus vehículos, pues como ya hemos indicado anteriormente la vulnerabilidad estaba en la aplicación de los propios dispositivos y se solventaba actualizando la versión de WhatsApp. Algo que por otra parte muchos usuarios ni siquiera hayan tenido que hacer en caso de tener activadas las actualizaciones automáticas.

En cualquier caso, esto es otro ejemplo más de que en este mundo nada es 100% seguro, de que lo que hoy es seguro mañana puede no serlo, y que incluso aplicativos de gigantes tecnológicos como Facebook, Google o Apple pueden tener vulnerabilidades graves como esta, que no requería interacción por parte del usuario y que ni siquiera dejaba rastro en el dispositivo. Al igual que en las películas o series que vemos hoy día. Y es que, en esto de la ciberseguridad, ya sabemos que en muchas ocasiones la realidad supera a la ficción

Deepak Daswani
Soy Ingeniero superior en Informática por la ULL, hacker y experto en ciberseguridad. En la actualidad trabajo como profesional independiente, prestando servicios relacionados con la ciberseguridad a empresas y organismos. Compagino esta labor con el rol de Chief Security Ambassador de ElevenPaths, Telefónica. Con anterioridad, ocupé el cargo de Security Evangelist en el Instituto Nacional de Ciberseguridad (INCIBE) y el de Experto en Ciberseguridad para la firma multinacional Deloitte. También he escrito el libro "La Amenaza Hacker" (Deusto, Grupo Planeta). Participo habitualmente como conferenciante y docente en los Congresos de Ciberseguridad más importantes a nivel internacional, en escuelas de negocio, másters universitarios, formaciones y sesiones para empresas, conferencias de hackers o eventos como las charlas TED. Asimismo, trato de divulgar y concienciar en diversos medios de comunicación de prensa, radio y televisión a nivel nacional e internacional.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.