Nueva Delhi, la agencia de seguridad cibernética de la India, CERT-In, ha revelado una vulnerabilidad en la función de “vinculación de dispositivos” de WhatsApp que permite a los atacantes tomar el control “completo” de una cuenta, incluido el acceso a mensajes, fotos y vídeos en tiempo real en la versión web.
La agencia denominó el problema “GhostPairing” el viernes en un aviso al que tuvo acceso PTI.
“Se ha informado que actores maliciosos están explotando la función de enlace de herramientas de WhatsApp para secuestrar cuentas utilizando códigos de socios sin requisitos de autenticación.
“Esta campaña cibernética recientemente identificada llamada GhostPairing permite a los ciberdelincuentes tomar el control total de las cuentas de WhatsApp sin necesidad de contraseñas o intercambios de SIM”, decía el aviso.
La respuesta de WhatsApp a la esperada revelación.
El equipo de respuesta a emergencias informáticas de la India es el brazo tecnológico nacional para combatir los ciberataques y proteger el espacio de Internet de la India.
El aviso decía que la campaña de ataque de “alto perfil” generalmente comenzaba cuando las víctimas recibían mensajes como “Hola, mira esta foto” de un contacto “confiable”.
El mensaje contiene un enlace y una vista previa al estilo de Facebook. El enlace conduce a un visor de Facebook “falso” que solicita a los usuarios que “verifiquen” para ver el contenido. Aquí, los atacantes explotaron la función “vincular dispositivo mediante número de teléfono” de WhatsApp engañando a usuarios desprevenidos para que ingresaran su número de teléfono, según el aviso.
De esta forma, la víctima “sin saberlo” le da al atacante acceso completo a su cuenta de WhatsApp.
El ataque ‘GhostPairing’ engaña a los usuarios para que den acceso al navegador del atacante, como un complemento oculto y confiable, mediante el uso de códigos de emparejamiento que parecen auténticos.
El aviso decía que una vez que los atacantes conectan su dispositivo, obtienen casi el mismo acceso que tendría la víctima en la web de WhatsApp.
Pueden leer mensajes sincronizados con sus dispositivos, recibir nuevos mensajes en tiempo real, ver fotos, videos y notas de voz, y pueden enviar mensajes a los contactos y chats grupales de la víctima, según el aviso.
La agencia recomienda contramedidas como no hacer clic en enlaces sospechosos incluso si provienen de contactos conocidos y no ingresar el número de teléfono en sitios externos que afirman ser WhatsApp o Facebook.
Este artículo se genera automáticamente a partir del feed de la agencia de noticias sin modificar el texto.
