![](\"https:\/\/sophos.files.wordpress.com\/2019\/01\/messages-whatsapp.jpg\"\/)
<\/p>\nEl eslogan de WhatsApp: simple, seguro, mensajer\u00eda fiable.<\/p>\n
Anexo necesario de marketing: agujero, actualizar, inmediatamente, vulnerabilidad, MP4.<\/p>\n
Facebook public\u00f3 un aviso de seguridad<\/a> sobre una vulnerabilidad de desbordamiento de b\u00fafer muy peligrosa en WhatsApp, CVE-2019-11931<\/a>, que podr\u00eda ser desencadenada por un v\u00eddeo MP4 comprometido.<\/p>\n Est\u00e1 calificada como una vulnerabilidad de alto riesgo \u2013 7,8 – en la escala CVE. Es comprensible: si no se repara, puede conducir a la ejecuci\u00f3n remota de c\u00f3digo (RCE), que luego puede permitir a los atacantes acceder a los archivos y mensajes de los usuarios. El agujero de seguridad tambi\u00e9n deja a los dispositivos vulnerables al ataque de denegaci\u00f3n de servicio (DoS).<\/p>\n Facebook dijo que afecta a las versiones de WhatsApp para tel\u00e9fonos iOS, Android y Windows. El problema no lo encontramos solo en el WhatsApp normal, tambi\u00e9n est\u00e1 en WhatsApp for Business y WhatsApp for Enterprise.<\/p>\n Eso es una enorme cantidad de usuarios: con m\u00e1s de 1.500 millones de usuarios activos mensuales, WhatsApp es la aplicaci\u00f3n de mensajer\u00eda m\u00f3vil m\u00e1s popular en todo el mundo, seg\u00fan Statista.<\/p>\n Facebook ha publicado un parche, por lo que si a\u00fan no lo has hecho, ha llegado la hora de actualizar. Aqu\u00ed est\u00e1 la explicaci\u00f3n t\u00e9cnica de Facebook sobre la vulnerabilidad:<\/p>\n Se podr\u00eda desencadenar un desbordamiento de b\u00fafer basado en la pila de WhatsApp enviando un archivo MP4 especialmente dise\u00f1ado a un usuario de WhatsApp. El problema estaba presente al analizar los metadatos de flujo elemental de un archivo MP4 y podr\u00eda resultar en un DoS o un RCE.<\/em><\/p>\n Un portavoz de WhatsApp dijo a The Next Web<\/a> que, por lo que la compa\u00f1\u00eda puede decir, la vulnerabilidad a\u00fan no ha sido explotada:<\/p>\n WhatsApp trabaja constantemente para mejorar la seguridad de nuestro servicio. Hacemos p\u00fablicos informes sobre posibles problemas que hemos solucionado de acuerdo con las mejores pr\u00e1cticas de la industria. En este caso, no hay raz\u00f3n para creer que los usuarios se vieron afectados.<\/em><\/p>\n Estas son las versiones de la aplicaci\u00f3n que se ven afectadas:<\/p>\n Si bien es una buena noticia saber que el error a\u00fan no ha sido explotado, no es motivo para no tratarlo con fuerza y \u200b\u200brapidez. Tales vulnerabilidades pueden incorporarse en cadenas de exploits que vinculan vulnerabilidades: una t\u00e9cnica que, seg\u00fan los informes, es utilizada por empresas que anuncian herramientas que pueden romper incluso el cifrado de iPhone de Apple.<\/p>\n De hecho, WhatsApp demand\u00f3 el mes pasado al fabricante de software esp\u00eda NSO Group<\/a> por lo que se conoce como vulnerabilidad de clic cero: una que permit\u00eda a los atacantes instalar software esp\u00eda silenciosamente<\/a> con solo hacer una videollamada al tel\u00e9fono de un objetivo.<\/p>\n El ataque permiti\u00f3 que alguien que llamara a dispositivos vulnerables para instalar software esp\u00eda que pudiera escuchar llamadas, leer mensajes y encender la c\u00e1mara.<\/p>\n Los usuarios de WhatsApp estaban siendo pirateados por ese agujero de clic cero en un ataque que WhatsApp dice que fue habilitado por las herramientas de software esp\u00eda de NSO Group, espec\u00edficamente, el famoso Pegasus.<\/p>\n No tienes problemas si tienes instalada una versi\u00f3n actual de WhatsApp. Sin embargo, comprueba si hay actualizaciones disponibles para tu dispositivo.<\/p>\n Y realiza esa verificaci\u00f3n con regularidad: si est\u00e1s utilizando WhatsApp, esperas mensajes seguros. Para obtener ese mensaje seguro, debes fortalecer tus defensas contra los atacantes que quieren hacer un agujero en tu muro de cifrado.<\/p>\n<\/p><\/div>\n\n
Enlaces en cadenas de exploits<\/h2>\n
Actualiza tu tel\u00e9fono<\/h2>\n