Un emoticono vale más que mil palabras, al menos en WhatsApp. Nos hemos acostumbrado a plasmar nuestro estado de ánimo con caritas amarillas, cacas sonrientes, simios tímidos y desde hace unos meses, con manos de todas las razas que saludan a nuestro interlocutor. En este tema, los españoles somos especialmente ñoños. Según un estudio de Tiny Books, el que tira un beso es nuestro favorito.
Los ciberdelincuentes también se han percatado de que no somos capaces de mantener una conversación en WhatsApp, ya sea divertida o seria, sin recurrir a estas simpáticas ilustraciones. Por eso, algunos han comenzado a perpetrar sus fechorías utilizándolos como armas.
Tras las estafas por WhatsApp de 2015, como el envío de un mensaje que invitaba a descargarse nuevos emoticonos pero que en realidad robaba los contactos del usuario, el 2016 comienza con una nueva vulnerabilidad en la app que ya utilizan más de 900 millones de personas.
Indrajeet Bhuyan, un joven indio que a sus 18 años aspira a convertirse en todo un experto de seguridad informática, acaba de descubrir que un ciberdelincuente o un amigo que te quiere gastar una broma de mal gusto puede aprovecharse de un fallo de WhatsApp para bloquear tu cuenta remotamente.
La estrategia no puede ser más sencilla: solo tiene que enviar miles de emojis en un mismo mensaje y WhatsApp se cierra automáticamente. Bhuyan ha explicado todo el proceso en el blog Hackatrick en el que él mismo narra su hallazgo.
Después de escribir entre 4.200 y 4.400 emojis con cara de pocos amigos en WhatsApp Web, Bhuyan se dio cuenta de que el servicio comenzaba a ralentizarse. Al enviar el mensaje, la propia web le informaba de que había un error, bloqueando el navegador.
Sin embargo, cuando el receptor se conectaba, recibía el mensaje. Al tratar de abrirlo, la aplicación dejaba de funcionar. WhatsApp ofrecía en ese momento las tradicionales opciones de cerrar o esperar. Eso sí, cualquiera de ellas servía de poco. La aplicación se bloqueaba de nuevo aún reiniciándola por culpa de la avalancha de emoticonos.
Este joven bloguero ha demostrado que el error se produce tanto en diferentes navegadores (Firefox y Google Chrome), así como en distintas versiones de Android (Marshmallow, Lollipop y KitKat). Solo los iPhones eran capaces de resistir el ataque del ejército de emoticonos’. WhatsApp para iOs se bloqueaba tan solo durante unos segundos.
El fallo puede resolverse fácilmente: en lugar de intentar leer ese mensaje plagado de rostros, el usuario deberá eliminar todo el chat sin llegar a entrar en él. Precisamente esta es la acción que algunos atacantes podría estar interesados en conseguir.
Por ejemplo, si un usuario ha enviado mensajes a otro que considera comprometidos o si le ha amenazado o extorsionado a través de este medio, puede enviarle ese alud de emoticonos para obligarle a borrar la conversación y que pierda de esta forma la prueba de los hechos. También podría utilizar esos miles de emoticonos para bloquear el navegador del receptor.
Bhuyan ya descubrió el año pasado una vulnerabilidad que provocaba el cierre de WhatsApp con un mensaje de 2.000 palabras con algunos caracteres especiales, un fallo que la compañía ya solucionó. En esta ocasión, también ha informado a WhatsApp del error que ha descubierto y espera que solucione ese fallo en la próxima versión.