Es engañosa esa cadena que afirma que pueden hackear tu celular tras descargar una foto en WhatsApp
Quizás hayas visto una cadena que circula por WhatsApp en la que indican que “van a subir unas fotos” de un volcán en ese servicio de mensajería y advierten que “no las abras ni la veas” porque “te jaquea [sic] el teléfono en 10 segundos”. Ese mensaje llegó a nuestro chatbot de elDetector para consultarnos sobre su veracidad y verificamos que se trata de la versión de una cadena engañosa que ha circulado desde hace varios años.
De acuerdo con dos expertos en ciberseguridad consultados, si bien es cierto que es posible que se produzca un hackeo en un celular utilizando una imagen, se trata de una posibilidad remota, pues los protocolos de seguridad de aplicaciones de uso masivo como WhatsApp cuentan con procedimientos exhaustivos para identificar y bloquear este tipo de ataques. Además, hallar una brecha de seguridad de esta naturaleza costaría millones de dólares por cada atacado, lo cual lo hace prácticamente inviable a gran escala.
Nahum Deavila, consultor en ciberinteligencia, explicó vía WhatsApp a elDetector que “existe un método que, teóricamente, podría ocultar malware [programa o archivo malicioso] en una imagen, pero es altamente improbable en WhatsApp, porque estas empresas implementan medidas de seguridad que escanean activamente los archivos adjuntos [sin ver su contenido] para detectar o prevenir cualquier contenido malicioso antes de que se reciba”.
Esto puede evidenciarse a través del proceso que sigue al enviar una foto o imagen por el referido servicio de mensajería. Una vez enviada por el emisor, WhatsApp comprime esta imagen, la manda a sus servidores y de allí la remite al dispositivo del receptor, señala el también CEO de Gizem Operations.
Envíanos al chat algo que quieres que verifiquemos. Pincha aquí:
“En ese proceso se eliminan, por ejemplo, los metadatos, que es información como la fecha, hora, ubicación geográfica, modelo de cámara o celular usados y otros datos que podrían afectar la privacidad de quien envía esta fotografía. WhatsApp lo hace para evitar una divulgación involuntaria de esta información que es privada”, precisa Deavila.
Al respecto, coincide el también experto en ciberseguridad Jaime Andrés Restrepo, quien es CEO de DragonJAR.org, empresa especializada en seguridad informática en Colombia.
“Las afirmaciones que sostienen que un teléfono móvil puede ser hackeado en tan solo 10 segundos simplemente al descargar una imagen suelen ser exageradas. Estas vulnerabilidades son excepcionalmente raras y, cuando existen, por lo general son identificadas y corregidas rápidamente por los desarrolladores de software”, explicó Restrepo vía WhatsApp a elDetector, y agregó que, para poder hacerlo, esto requeriría un equipo multidisciplinario para descubrir el “fallo” de seguridad de la aplicación, pues “demanda un conocimiento técnico avanzado y costoso".
Con esto último se refiere a que encontrar una brecha de seguridad en un programa o aplicación como WhatsApp costaría al menos entre 1 millón y 1.5 millones de dólares, como se indica en la web de Zerodium, una comunidad global de investigadores de seguridad, donde se expone una tabla en la que están clasificadas las tarifas que se pagan a los desarrolladores e ingenieros que logren dar con este tipo de fallas llamadas "vulnerabilidades de día cero (zero-day exploits)”, que son desconocidas por los propietarios de las aplicaciones, y así ayuden a resolverlas.
También resulta muy baja la probabilidad de un ataque masivo como el que plantea la afirmación, porque al resultar tan costoso, sólo podría dirigirse a una figura importante o reconocida, “alguien de alto perfil”, agregó Restrepo. Y menciona un hackeo que, según una investigación forense digital publicada por The Guardian, sufrió el dueño de Amazon, Jeff Bezos, cuando su teléfono y sus datos personales se vieron comprometidos, al parecer, tras bajar un video de WhatsApp en 2018.
Adicionalmente, dice, “los sistemas operativos de los teléfonos cuentan con numerosos mecanismos de seguridad integrados. Por ejemplo, en los sistemas iOS y Android, las aplicaciones deben solicitar permisos explícitos del antes de acceder a ciertos datos o funcionalidades”.
Una cadena reciclada que circuló en varias versiones desde 2018
El medio español Maldita.es, integrante –como elDetector– de la Red Internacional de Verificación de Datos (IFCN, en inglés), publicó en abril de 2018 una nota en la que calificaba como falsas las afirmaciones de un mensaje sobre una foto del Pico de Orizaba (al sur de México) que, al abrirla, hackeaba el celular en 10 segundos, un contenido muy similar al que recibimos en el chatbot, solo que en nuestro caso se menciona al volcán de Chillán (al suroeste de Chile).
Y en octubre de 2019, Maldita.es realizó también una verificación sobre el mensaje alusivo al volcán chileno, que identificó igualmente como falso y lo relacionó con la desinformación que circuló el año anterior. En abril de 2020, fue otro miembro de IFCN, Chequeado, desde Argentina, el que verificó una versión de la cadena, entonces sobre un video vinculado con el coronavirus.
En diciembre de 2022, el medio verificador Cotejo.info compartió un chequeo sobre una nueva versión de este mensaje que circuló en Venezuela y que afirmaba que se trataba “de fotos de los bancos Venezuela y Bicentenario” que supuestamente hackearían los teléfonos en 10 segundos. Pero no encontraron denuncias ante las autoridades nacionales sobre este tema.
Al confirmar que sobre este supuesto método de hackeo chequeado en años anteriores no hubo registros de denuncias en ninguna ocasión previa, según estos medios de verificación, y corroborar que es una intervención sumamente difícil de realizar, como nos señalaron los dos expertos consultados por elDetector, determinamos que lo que se intenta con esta cadena de WhatsApp es crear un injustificado estado de alarma en los s de la aplicación, con datos presentados de forma tendenciosa, y por eso lo consideramos como un contenido engañoso.
Conclusión
Es engañosa esa cadena que afirma que al descargar una foto de WhatsApp se pueda hackear el celular en 10 segundos. Dos especialistas en ciberseguridad explicaron a elDetector que aunque es posible que se pueda comprometer el a un teléfono móvil a través de una imagen, es un proceso muy complejo y altamente costoso, que necesitaría de un equipo multidisciplinario para ejecutarse y no podría realizarse masivamente con la facilidad que describen en la cadena compartida. Además, los protocolos de seguridad de WhatsApp, así como de los sistemas operativos iOS y Android, cuentan con mecanismos sofisticados para prevenir que archivos o softwares maliciosos puedan instalarse en los celulares. También identificamos que otros medios de verificación en España, Argentina y Venezuela hicieron chequeos a distintas versiones de esta cadena, que calificaron como falsas y que han circulado desde 2018. Lee aquí cómo escogemos y asignamos nuestras etiquetas en elDetector.
Fuentes
Univision Noticias. ElDetector. NO pueden “hackear” tu celular solamente si presionas una tecla durante una llamada: es una cadena falsa en WhatsApp. 21 de mayo de 2023.
Univision Noticias. ElDetector. Así lo hacemos. Consultado el 31 de mayo de 2023.
Entrevista vía WhatsApp a Nahum Deavila, consultor en ciberinteligencia y CEO de Gizem Operations. 31 de mayo de 2023.
Entrevista vía WhatsApp a Jaime Andrés Restrepo, consultor en ciberseguridad y CEO de DragonJAR.org. 31 de mayo de 2023.
Xataka. Malware: qué es, qué tipos hay y cómo evitarlos. 2 de junio de 2020.
WhatsApp. Preguntas frecuentes. Actualizamos nuestras condiciones de servicio y política de privacidad en enero de 2021. Consultado el 31 de mayo de 2023.
Zerodium. Preguntas frecuentes. Consultado el 31 de mayo de 2023.
Zerodium. Programa. Pagos a investigadores y desarrolladores. Consultado el 31 de mayo de 2023.
Panda Security. Exploit. Consultado el 31 de mayo de 2023.
The Guardian. Jeff Bezos hackeado: El teléfono del jefe de Amazon 'hackeado por el príncipe heredero saudí'. 22 de enero de 2020.
Digital Trends.es. Android vs. iOS: comparamos a fondo ambos sistemas operativos. 6 de abril de 2023.
signatarios del Código de Principios de la Red Internacional de Verificación de Datos (IFCN) . Consultado el 31 de mayo de 2023.
Maldita,es. No, no hay una foto del pico de Orizaba que te hackea el móvil en 10 segundos. 16 de abril de 2018.
Maldita.es. No, unas fotos del volcán Chillán de Chile no te hackean el teléfono en 10 segundos. 10 de octubre de 2019. Actualizado el 27 de mayo del 2023.
Chequeado. Es falso que circule en WhatsApp un video sobre el coronavirus que, al abrirlo, hackea el celular “en 10 segundos”. 4 de abril de 2020.
Cotejo.info. No hay denuncias sobre jaqueos de teléfonos móviles mediante imágenes compartidas en redes sociales. 23 de diciembre de 2022.
Gobierno de México. Secretaría de Medio Ambiente y Recursos Naturales. El Parque Nacional Pico de Orizaba protege ambientes de alta montaña. 4 de enero de 2019.
Ministerio de Minería de Chile. Servicio Nacional de Geología y Minería. Red Nacional de Vigilancia Volcánica. Complejo Volcánico Nevados de Chillán. Consultado el 31 de mayo de 2023.
elDetector opera de forma independiente con el financiamiento de instituciones que puedes ver aquí y que no tienen ningún poder de decisión sobre nuestro contenido. Nuestra línea editorial es autónoma.
¿Viste algún error o imprecisión? Escríbenos a [email protected] o a través de nuestro Twitter @eldetectoruni. Tras verificar tu solicitud, haremos la corrección que corresponda en un plazo no mayor de 48 horas.
Lee aquí nuestra aquí traducido al español. Escribe a la IFCN llenando este formulario si consideras que no estamos cumpliendo ese código.
Envíanos al chat algo que quieres que verifiquemos:
