WhatsApp, la plataforma de mensajería instantánea de Meta, permite desde el año 2021 enviar mensajes de una única visualización, es decir, que en el momento que se abren, se eliminan y ya no se puede volver a ver. Este tipo de mensajes otorgan una mayor privacidad y, en teoría, no se pueden realizar capturas de los mismos, pero unos investigadores han descubierto que sí.
Un fallo de WhatsApp permite guardar los archivos que mandas de visualización única
La gracia de estos mensajes es que la otra persona no los pueda guardar, ya sea porque no interesa o es algo que requiere de una mayor privacidad. En el momento que se envían, el usuario tiene 14 días para poder abrirlo. De no hacerlo se eliminan de manera automática y desde WhatsApp aseguran que no es posible hacer capturas de ningún archivo multimedia.
Esto contrasta con lo que unos investigadores de Zengo X Research Team han descubierto. En concreto, una falla de seguridad critica que permite hacer capturas y guardar los archivos en la versión de web de la plataforma. Los mensajes de visualización única solo está habilitada en los smartphones, ya que en la web indica que los mensajes no son compatibles y deben verse en el móvil por cuestiones de privacidad.
El protocolo de cifrado se cumple en los móviles, pero en el servidor API de WhatsApp web no se aplica, de tal manera que el mensaje se puede descargar y anular la orden de ver solo una vez. Afirman que estos mensajes son igual que los normales, pero con un comando que indica que solo se puede ver una vez. Si los ciberdelincuentes quieren eludir esto, solo tienen que incluir una etiqueta que indique la palabra ‘falso’ para revertir su formato y poder descargarlos.
También han probado otra manera de acceder a dichos contenidos extrayendo la URL del archivo desde el código de la plataforma y descargar el cifrado con un navegador y descifrarlo con programas como OpenSSL y mediaKey. Los investigadores lo han compartido para proteger la privacidad de los usuarios y Meta ya está trabajando para solucionar el error.
