Hoy hemos conocido un fallo de seguridad importante en WhatsApp, que podría filtrar tu dirección IP. WhatsApp ha tenido graves fallos de seguridad a lo largo de la historia. Uno de los más importantes estaba relacionado con las llamadas perdidas. Con solo recibir una llamada perdida, cualquiera podría robar chats e imágenes de nuestro teléfono móvil. Ahora, una nueva falla de seguridad expone la dirección IP del usuario.
El fallo ha sido descubierto por un usuario llamado bhdresh, que incluso ha creado una prueba de concepto en la que demuestra cómo funciona la vulnerabilidad y cómo se puede explotar para obtener la dirección IP de una persona con sólo realizar una llamada a través de la aplicación.
Cualquiera puede saber tu IP a través de WhatsApp con este fallo de seguridad
La falla de seguridad funciona incluso en la última versión de la aplicación. Para hacer esto, primero debe configurar un script que pueda leer el tráfico al realizar una llamada o videollamada en la aplicación. Después de eso, la aplicación del remitente intenta establecer una conexión con la dirección IP del receptor. Al filtrar la dirección IP del servidor de Facebook y WhatsApp del destinatario, es posible revelar su dirección IP sin que el usuario lo sepa.
Con este método, los usuarios pueden conocer direcciones IP públicas para conocer la ubicación aproximada de estos usuarios, y así poder rastrear sus movimientos creando un historial de ubicaciones.
Para llevar a cabo el ataque es necesario, en primer lugar, tener el smartphone y el ordenador conectados a la misma red Wi-Fi.
Después de eso solo queda llamar a cualquier usuario de WhatsApp. La llamada tiene que estar establecida entre ambas partes, y luego podremos colgar ya que el script ya mostrará la dirección IP del destinatario.
Facebook dice que no lo solucionará
El usuario que ha descubierto esta vulnerabilidad informó del fallo a Facebook el 14 de octubre de 2020, pero la red social dijo que ese era el funcionamiento esperado y que no había nada que parchear, por lo que no iban a dar recompensa. El único consejo que dieron fue usar una VPN si no querían que se filtrara su dirección IP.
En marzo de 2021, Signal introdujo un mecanismo para redirigir llamadas a través de un servidor para ocultar la dirección IP real del destinatario. Entonces bhdresh volvió a preguntar a Facebook si podían implementar algo como esto, y dijeron que no, que la implementación actual funciona sin problemas. Así que nuestra dirección IP puede filtrarse a cualquiera que nos llame, por lo que la única solución es utilizar una VPN.
