Un fallo en Signal, Google Duo y Facebook Messenger permitía que espiaran a sus usuarios a través del micrófono sin que lo notaran

Imagina llamar a un amigo y poder escuchar todo lo que dice antes de descolgar el teléfono. Técnicamente ha sido posible en aplicaciones como Signal, Google Duo, Facebook Messenger, JioChat o Mocha, según ha desvelado una hacker del Project Zero de Google, un equipo de ciberseguridad de la compañía estadounidense.

El error ya fue arreglado hace meses, y se podía explotar gracias a varias vulnerabilidades descubiertas en las apps de videllamadas antes mencionadas. Llama especialmente la atención la presencia de Signal en el listado, teniendo en cuenta de que su popularidad está en auge por sus promesas en cuanto a la privacidad de sus usuarios.

Antes de que las vulnerabilidades fuesen subsanadas, el error permitía explotar la posibilidad de llamar a un contacto y poder oír todo lo que registraba el micrófono de su dispositivo sin que él tuviese que descolgar o interactuar con la aplicación. 

Por qué Elon Musk, el hombre más rico del mundo, quiere que dejes de usar WhatsApp y cambies a Signal

La hacker que ha desvelado estas vulnerabilidades es Natalie Silvanovich, que explica que detectó al menos cinco vulnerabilidades en siete aplicaciones que permitían explotar este error. 

En Signal, por ejemplo, estas vulnerabilidades se repararon con un parche en septiembre de 2019. Se podía conseguir captar el audio del teléfono receptor enviando simplemente un mensaje de conexión desde el dispositivo que llamaba, cuando las conexiones se hacen justo al revés: es el aparato llamado el que envía un mensaje con el que le llama para confirmar esa conexión.

Las llamadas a la acción de Google Duo, por ejemplo, eran susceptibles de filtrar paquetes de vídeos durante llamadas no descolgadas. Este problema se subsanó algo más tarde, en diciembre de 2020. Con Facebook Messenger ocurría algo similar, pero con paquetes de audio, y se subsanó en noviembre también del año pasado. JioChat y Mocha repararon sus vulnerabilidades entre julio y agosto, también de 2020.

Silvanovich también detectó una vulnerabilidad en WhatsApp que puede explotarse consiguiendo que un usuario descuelgue la llamada, y que abre la puerta a comprometer la app. La hacker advierte que es preocupante que todas las vulnerabilidades detectadas fueron encontradas en llamadas P2P, "por lo que futuras investigaciones podrían revelar más problemas en este campo".

3 opciones de WhatsApp que deberías tener ya activadas si quieres mejorar tu seguridad en internet

El caso de Signal es paradójico. WhatsApp anunció a principios de año unos cambios en las políticas de privacidad que no afectarían a la Unión Europea, pero que ha inquietado a muchos de sus usuarios: según las cláusulas actualizadas, se abría la puerta a que la app comparta datos e información de sus usuarios con su matriz, que no es otra que Facebook.

Fruto de esa noticia, apps como Signal y Telegram han registrado un notable aumento de su comunidad de usuarios. Signal, por su parte, se proclama como una de las apps más seguras para la privacidad de sus usuarios. Tiene razones para ello: detrás hay una fundación que se financia con donaciones, no una gran empresa. Además, trabaja con el principio de conocer solo lo indispensable de sus usuarios.

Sin embargo, estas vulnerabilidades detectadas —y con las que Signal actuó mucho más rápido que sus competidoras— sirven para recordar que en internet no hay ninguna herramienta 100% segura.