- WhatsApp ha lanzado una nueva función de seguridad que ayuda aún más a evitar que los atacantes utilicen vectores como malware en el dispositivo.
- Esta característica de seguridad, llamada verificación del dispositivo, no requiere ninguna acción ni pasos adicionales por parte de los usuarios y ayuda a proteger su cuenta.
- Esta característica es parte de nuestro trabajo más amplio para mejorar la seguridad de nuestros usuarios contra la creciente amenaza del malware.
La máxima prioridad de WhatsApp es garantizar que los usuarios puedan comunicarse de forma privada, sencilla y segura. Una de las herramientas más seguras a nuestra disposición es el cifrado de extremo a extremo. Esto significa que nadie, ni siquiera WhatsApp, puede leer los mensajes privados que se envían entre usuarios. Esto protege los mensajes de ser interceptados, sin embargo, estamos viendo cada vez más los atacantes están apuntando a los puntos finales de comunicación, los propios dispositivos móviles, y estamos aumentando nuestros mecanismos de seguridad para mantener seguras las cuentas de los usuarios.
En particular, nos preocupa el malware, que infecta un teléfono móvil de la misma manera que un virus infecta una computadora. El malware se utiliza para promover ataques de apropiación de cuentas (ATO) que envían mensajes sin el conocimiento o permiso del usuario.
Como parte de nuestros esfuerzos continuos para proteger la información y las cuentas de WhatsApp de las personas, estamos introduciendo una nueva medida de seguridad llamada verificación de dispositivos para ayudar a prevenir ataques ATO. La verificación del dispositivo bloquea la conexión del atacante, lo que le permite a la víctima usar libremente su cuenta de WhatsApp.
¿Por qué necesitamos la verificación del dispositivo?
WhatsApp utiliza varias claves criptográficas para proporcionar cifrado de extremo a extremo para las comunicaciones dentro de la aplicación. Uno de ellos es la clave de autenticación, que permite que el cliente de WhatsApp se conecte al servidor de WhatsApp para restablecer una conexión de confianza. Esta clave de autenticación permite que las personas usen WhatsApp sin tener que ingresar una contraseña, PIN, SMS u otras credenciales cada vez que encienden la aplicación.
Este mecanismo es seguro porque la clave de autenticación no puede ser interceptada por ningún tercero, incluido WhatsApp. Sin embargo, si el dispositivo está infectado con malware, la clave de autenticación puede ser robada.
Estamos principalmente preocupados por la popularidad de la información no oficial. clientes whatsapp que contienen malware diseñado para este propósito. Estas aplicaciones no oficiales ponen en peligro la seguridad de los usuarios, por lo que animamos a todos los usuarios de WhatsApp a utilizar aplicación oficial de whatsapp.
Una vez que el malware aparece en los dispositivos de los usuarios, los atacantes pueden usarlo para capturar la clave de autenticación y usarla para hacerse pasar por la víctima para enviar spam, estafas, intentos de phishing, etc. a otras víctimas potenciales.
Verificar el dispositivo ayudará a WhatsApp a identificar estos escenarios y a mantener segura la cuenta del usuario.
Cómo funciona la verificación del dispositivo
WhatsApp ha implementado la verificación de dispositivos para aprovechar la forma en que las personas normalmente leen y responden los mensajes enviados a sus dispositivos. Cuando alguien recibe un mensaje, su cliente de WhatsApp se despierta y recibe un mensaje fuera de línea del servidor de WhatsApp. Este proceso no puede ser suplantado por malware que robe la clave de autenticación e intente enviar mensajes desde fuera del dispositivo del usuario.
Verificación de dispositivos presenta tres nuevas opciones:
- Un token de seguridad que se almacena en el dispositivo del usuario.
- Un nonce que se utiliza para determinar si el cliente se está conectando para recibir un mensaje del servidor de WhatsApp.
- Una llamada de autenticación que se utiliza para hacer ping de forma asíncrona al dispositivo del usuario.
Estas tres configuraciones ayudan a evitar que el malware robe la clave de autenticación y se conecte al servidor de WhatsApp desde fuera del dispositivo del usuario.
Cómo se lanza un token de seguridad
Cada vez que alguien recibe un mensaje sin conexión, el token de seguridad se actualiza para que pueda volver a conectarse sin problemas en el futuro. Este proceso se denomina arranque del token de seguridad.
Cómo se verifica la conexión de un nuevo cliente
Cada vez que un cliente de WhatsApp se conecta a un servidor de WhatsApp, requerimos que el cliente nos envíe un token de seguridad que se encuentra en su dispositivo. Esto nos permite detectar conexiones sospechosas de malware que intenta conectarse al servidor de WhatsApp desde fuera del dispositivo del usuario.
¿Qué es un desafío de autenticación?
Un desafío de autenticación es un ping invisible desde el servidor de WhatsApp al dispositivo del usuario. Solo enviamos estas llamadas en conexiones sospechosas. Hay tres opciones para contestar una llamada:
- Éxito: el cliente responde a la solicitud del dispositivo de conexión.
- Error: El cliente está respondiendo a una solicitud de otro dispositivo. Esto significa que lo más probable es que la conexión a la que se llama provenga de un atacante y la conexión se bloqueará.
- Sin Respuesta: El cliente no contesta la llamada. Esta situación es rara e indica que la conexión en disputa es sospechosa. Estamos intentando enviar la llamada unas cuantas veces más. Si el cliente sigue sin responder, se bloqueará la conexión.
Que sigue
El malware es un problema que amenaza cada vez más la seguridad y la privacidad de todos. La verificación de dispositivos se ha implementado para el 100 % de los usuarios de WhatsApp en Android y está en proceso de implementación para los usuarios de iOS. Esto nos permite mejorar la seguridad de nuestros usuarios sin interrumpir su servicio o agregar pasos adicionales que deben tomar. La verificación del dispositivo será una herramienta importante y adicional a disposición de WhatsApp para abordar los raros problemas de seguridad asociados con el robo de claves. Continuaremos evaluando nuevas funciones de seguridad para proteger la privacidad de nuestros usuarios.