Este es un tema que recurrentemente nos llega a Maldita.es en forma de bulos: en alguna ocasión os hemos explicado que un archivo llamado "Argentina lo está logrando" no te hackea tu teléfono en 10 segundos ni tampoco lo hacen unas fotos del volcán Chillán de Chile. Se trata de cadenas que van mutando y se vuelven a viralizar. Eso sí, eso no significa que este tipo de ciberataque no exista. Os lo explicamos.
Para infectar un teléfono móvil a través de una imagen enviada por WhatsApp hace falta encontrar una vulnerabilidad en la aplicación que permita esconder un código informático malicioso en el archivo que vamos a enviar. De modo que cuando tú abras la aplicación y vayas a descargarlo, este ejecute ese código desde tu teléfono.
Marta Beltrán, profesora de Ciberseguridad e investigadora en la Universidad Rey Juan Carlos, explica que es un tipo de virus común llamado “estegomalware”: “Se oculta con técnicas de esteganografía un archivo ejecutable en una imagen o archivo multimedia: cuando la abres, el archivo se ejecuta sin que tú lo sepas”. La esteganografía sigue una serie de técnicas para esconder en líneas de texto o en píxeles de fotos instrucciones concretas que se activan cuando interactuamos con el archivo.
Suele instalar un malware en el dispositivo o secuestrar alguna aplicación, por ejemplo robando la contraseña de acceso que usamos. Por poner un ejemplo, la Oficina de Seguridad del Internauta (OSI) emitió una alerta en 2019 sobre una vulnerabilidad que sufrió WhatsApp y que permitía a ciberatacantes colar código malicioso en un teléfono solo con descargar un GIF. Cuando se abría la galería desde la app, se ejecutaba para que la persona al otro lado pudiera acceder a otras aplicaciones del teléfono.
Cada cierto tiempo, las empresas tienen que solucionar vulnerabilidades así
Cuando hablamos de amenazas, no hay cosas imposibles, cuenta a Maldita Tecnología José García Gamero, analista de ciberseguridad en EY y maldito que nos ha prestado sus superpoderes. Señala que en 2019, Google tuvo que solucionar una vulnerabilidad del sistema operativo Android por la cual un atacante podía ejecutar código arbitrario en el dispositivo a través de una imagen PNG que tenía que llegar al móvil.
Tanto en el ejemplo de WhatsApp como en este ejemplo concreto de Google, la solución pasa por mantener actualizadas en su última versión tanto las aplicaciones que usamos como el sistema operativo de nuestro teléfono.
El desarrollador especializado en virus y antivirus y divulgación sobre seguridad informática Fernando de la Cuadra reconoce que estos ataques no suelen ser comunes y que las empresas suelen tener laboratorios funcionando continuamente para poner “parches” a esos fallos de seguridad, pero que pueden ocurrir y por eso hay que tener cuidado de no abrir cualquier archivo que nos mandan personas desconocidas o que se distribuyen por cadenas virales.
Beltrán explica que evitar este tipo de ataque no pasa por una sola medida, sino por aplicar un conjunto de buenas prácticas: evitar abrir cualquier archivo de forma automática (WhatsApp nos permite configurar la descarga automática de imágenes, vídeos y otros archivos), configurar las aplicaciones de manera segura y mantenerlas actualizadas… Y para este caso concreto, un buen antivirus también puede servir.
“Los sistemas de protección más avanzados disponen de sistemas de detección de código malicioso basado en el comportamiento del código. Si algo que llega a nuestro smartphone intenta llevar a cabo una serie de acciones extrañas, el propio antivirus debe detectarlo y, sin saber exactamente qué es, detenerlo y evitar un problema”, expone de la Cuadra.
En este artículo ha colaborado con sus superpoderes el maldito José Carlos García Gamero, analista de ciberseguridad en EY.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 29/10/2020.