Un fallo en Signal, Google Duo y Facebook Messenger permitía que espiaran a sus usuarios a través del micrófono sin que lo notaran

Aplicación de Signal
Jacinto Araque
  • Una hacker de Google desvela que varias vulnerabilidades en apps como Signal, Google Duo o Facebook Messenger podía ayudar a ciberdelincuentes a espiar a sus objetivos.
  • La premisa es sencilla: explotando el fallo, cualquiera podía oír lo que captara el micrófono de un móvil al que se estuviese llamando, aunque el usuario no aceptase la llamada.
  • Descubre más historias en Business Insider España.

Imagina llamar a un amigo y poder escuchar todo lo que dice antes de descolgar el teléfono. Técnicamente ha sido posible en aplicaciones como Signal, Google Duo, Facebook Messenger, JioChat o Mocha, según ha desvelado una hacker del Project Zero de Google, un equipo de ciberseguridad de la compañía estadounidense.

El error ya fue arreglado hace meses, y se podía explotar gracias a varias vulnerabilidades descubiertas en las apps de videllamadas antes mencionadas. Llama especialmente la atención la presencia de Signal en el listado, teniendo en cuenta de que su popularidad está en auge por sus promesas en cuanto a la privacidad de sus usuarios.

Antes de que las vulnerabilidades fuesen subsanadas, el error permitía explotar la posibilidad de llamar a un contacto y poder oír todo lo que registraba el micrófono de su dispositivo sin que él tuviese que descolgar o interactuar con la aplicación. 

Por qué Elon Musk, el hombre más rico del mundo, quiere que dejes de usar WhatsApp y cambies a Signal

La hacker que ha desvelado estas vulnerabilidades es Natalie Silvanovich, que explica que detectó al menos cinco vulnerabilidades en siete aplicaciones que permitían explotar este error. 

En Signal, por ejemplo, estas vulnerabilidades se repararon con un parche en septiembre de 2019. Se podía conseguir captar el audio del teléfono receptor enviando simplemente un mensaje de conexión desde el dispositivo que llamaba, cuando las conexiones se hacen justo al revés: es el aparato llamado el que envía un mensaje con el que le llama para confirmar esa conexión.

Las llamadas a la acción de Google Duo, por ejemplo, eran susceptibles de filtrar paquetes de vídeos durante llamadas no descolgadas. Este problema se subsanó algo más tarde, en diciembre de 2020. Con Facebook Messenger ocurría algo similar, pero con paquetes de audio, y se subsanó en noviembre también del año pasado. JioChat y Mocha repararon sus vulnerabilidades entre julio y agosto, también de 2020.

Silvanovich también detectó una vulnerabilidad en WhatsApp que puede explotarse consiguiendo que un usuario descuelgue la llamada, y que abre la puerta a comprometer la app. La hacker advierte que es preocupante que todas las vulnerabilidades detectadas fueron encontradas en llamadas P2P, "por lo que futuras investigaciones podrían revelar más problemas en este campo".

3 opciones de WhatsApp que deberías tener ya activadas si quieres mejorar tu seguridad en internet

El caso de Signal es paradójico. WhatsApp anunció a principios de año unos cambios en las políticas de privacidad que no afectarían a la Unión Europea, pero que ha inquietado a muchos de sus usuarios: según las cláusulas actualizadas, se abría la puerta a que la app comparta datos e información de sus usuarios con su matriz, que no es otra que Facebook.

Fruto de esa noticia, apps como Signal y Telegram han registrado un notable aumento de su comunidad de usuarios. Signal, por su parte, se proclama como una de las apps más seguras para la privacidad de sus usuarios. Tiene razones para ello: detrás hay una fundación que se financia con donaciones, no una gran empresa. Además, trabaja con el principio de conocer solo lo indispensable de sus usuarios.

Sin embargo, estas vulnerabilidades detectadas —y con las que Signal actuó mucho más rápido que sus competidoras— sirven para recordar que en internet no hay ninguna herramienta 100% segura.

LEER TAMBIÉN: Por qué las nuevas variantes hacen más necesario que nunca acelerar la campaña de vacunación y que las vacunas lleguen a los países de menos ingresos

LEER TAMBIÉN: Netflix creció en 8,5 millones de usuarios de pago en el cuarto trimestre, superando por primera vez los 200 millones pese a haber demorado su ritmo de crecimiento tras el impulso de la pandemia

LEER TAMBIÉN: Iberia finalmente cierra la compra de Air Europa por 500 millones, la mitad del precio acordado en 2019: a qué equivale la operación del siglo en los cielos españoles

VER AHORA: Javier Gándara, director general de easyJet para el Sur de Europa: “Nuestro gran reto es conseguir que volar vuelva a ser asequible para todos los bolsillos tras la crisis”