WhatsApp, la aplicación de mensajería cifrada de extremo a extremo más popular del mundo con más de dos mil millones de usuarios, permite a los usuarios intercambiar fotos y videos que desaparecen poco después de abrirse. Pero un error en cómo WhatsApp implementa su función llamada “Ver una vez” en su aplicación web basada en navegador permite a cualquier destinatario malicioso mostrar y guardar la imagen y el video, que deberían desaparecer inmediatamente después de ser vistos.
La función “Ver una vez” está diseñada para funcionar solo en las aplicaciones móviles de WhatsApp en Android e iOS. WhatsApp lanzó la función en 2021. En circunstancias normales, cuando un usuario recibe una imagen o video de “Ver una vez” mientras usa WhatsApp en la aplicación de escritorio o en la aplicación web, el usuario verá una advertencia de que la imagen o el video solo se puede abrir usando WhatsApp en su teléfono.
Como protección adicional de privacidad, WhatsApp evita que los usuarios tomen capturas de pantalla o grabaciones de pantalla de las fotos y videos de “Ver una vez” en sus aplicaciones de Android e iOS. Tal Be’ery, un investigador de seguridad que ha estado investigando problemas de privacidad de WhatsApp durante varios meses, descubrió recientemente el error. El lunes, Be’ery publicó una entrada en el blog detallando sus hallazgos.
Be’ery proporcionó a TechCrunch una demostración en vivo del error la semana pasada, en la que mostró que pudo capturar y guardar una copia de una imagen que TechCrunch envió como “Ver una vez”, mientras usaba WhatsApp en la web.
“Lo único peor que no tener privacidad, es tener una falsa sensación de privacidad en la que los usuarios creen que algunas formas de comunicación son privadas cuando en realidad no lo son”, dijo Be’ery, quien es el CTO y cofundador de la billetera criptográfica Zengo, en su entrada de blog. “Actualmente, la función ‘Ver una vez’ de WhatsApp es una forma brusca de falsa privacidad y debería ser corregida a fondo o abandonada”, escribió Be’ery.
Be’ery informó el error a la empresa matriz de WhatsApp, Meta, a través de su plataforma oficial de recompensas por errores el 26 de agosto. En respuesta a la solicitud de comentarios de TechCrunch la semana pasada, y días después de que Be’ery presentara su informe de error, el portavoz de WhatsApp, Zade Alsawah, envió una declaración: “Ya estamos en proceso de implementar actualizaciones para ver una vez en la web. Continuamos alentando a los usuarios a enviar mensajes de ver una vez solo a personas que conocen y en las que confían”.
Be’ery no es la primera persona en descubrir este error. Be’ery y TechCrunch vieron publicaciones promocionando múltiples extensiones del navegador que facilitan enormemente eludir la función “Ver una vez” mientras se usa la aplicación web de WhatsApp. TechCrunch también ha visto discusiones activas sobre cómo eludir la función en redes sociales. TechCrunch no está vinculando a las publicaciones para no ayudar a actores malintencionados a explotar el error. WhatsApp no proporcionó un cronograma para cuando planea completar sus actualizaciones de Ver una vez.
