Una nueva falla crítica en WhatsApp afecta tanto a dispositivos Android como iOS y permite que los hackers puedan robar información personal de los usuarios almacenada en la app. ¿Cómo se logra? A través del envío de un video en formato MP4.

La empresa propietaria de WhatsApp, Facebook, anunció que existe en versiones antiguas una vulnerabilidad en la aplicación de mensajería que puede ser utilizada por los ciberdelincuentes para lanzar ataques DoS (denegación del servicio) o RCE (ejecución remota del código).

“Un desbordamiento de búfer (‘stack-based buffer overflow’) podría desencadenarse en WhatsApp enviando un archivo especialmente elaborado a un usuario de WhatsApp. Este asunto estuvo presente en el análisis de los metadatos elementales de un archivo MP4 y puede resultar en un ataque DoS o RCE”, explicó Facebook.

Para acceder a los datos de las víctimas, el hacker tiene que enviar un archivo MP4 a las mismas a través de la aplicación. Si estas lo abren, el ciberdelincuente aprovecha la vulnerabilidad de la aplicación denominada de desbordamiento de la pila de búfer para lanzar los ataque DoS o REC y robar la información almacenada en la app.

Esta vulnerabilidad se trata de un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian y almacenan en una memoria diseñada para ello. Si la cantidad de datos destinada a almacenar en la misma supera la capacidad que esta tiene, los bytes sobrantes se guardan en zonas de memoria adyacentes sobreescribiendo su contenido original que suele pertenecer a datos o códigos almacenados en memoria. Esto da lugar a una vulnerabilidad que puede ser explotada por un hacker para hacer un uso malintencionado de la misma.

Los dispositivos afectados

De acuerdo con el comunicado emitido por Facebook, esta vulnerabilidad afectó tanto a dispositivos iOS como Android en versiones antiguas de WhatsApp. El error fue parcheado con la actualización del pasado 3 de octubre, pero sigue activa en dispositivos con software desactualizado.

En concreto, están afectadas las versiones de Android anteriores a 2.19.274, las de iOS previas a 2.19.100, versiones de Enterprise Client anteriores a 2.25.3, las de Windows Phone anteriores e incluyendo 2.18.368, las de Business para Android previas a 2.19.104, y las de Business para iOS anteriores a 2.19.100.

Para saber qué versión de WhatsApp tiene un celular hay que ir a la aplicación, ingresar al menú Ajustes > Ayuda > Información de la aplicación.