Facebook tuvo que enfrentarse a otro problema en el ámbito de la protección de los datos personales de los usuarios. Esta vez se trata de un fallo de programación que afectó a WhatsApp y que podía permitir a los "hackers" obtener el control total de la aplicación de mensajería. Para incurrir en este grave peligro, era suficiente con que los usuarios atacados respondieran a una videollamada.

El bug afectó el servicio tanto en los teléfonos equipados con Android como en los iPhone. Facebook, por su parte, acaba de asegurar que el problema ha sido solucionado con la última actualización de la aplicación, aunque no ha indicado si la falla fue realmente aprovechada para realizar ataques. La vulnerabilidad fue descubierta a finales de agosto por un equipo de Google Project Zero.

Uno de estos investigadores, Travis Ormandy, comentó en Twitter: “Este era realmente un gran problema, solo con responder a una videollamada de un pirata informático potencial, la aplicación se veía comprometida por completo”. La forma de funcionar de la vulnerabilidad se encontró dentro del código fuente de WhatsApp.

Según Natalie Silvanovich, también investigadora de Google Project Zero, la falla estaba presente solo en los protocolos utilizados para la versión móvil de WhatsApp, mientras que WhatsApp Web sería inmune. Esto significa que solo los usuarios que responden a videollamadas desde sus smartphones eran objetos potenciales de estos ataques informáticos.

En particular, el bug se encontraba dentro del protocolo RTP (acrónimo de Real-time Transfer Protocol, protocolo de transferencia de datos en tiempo real), que se utiliza para enviar y recibir los paquetes de datos de las videollamadas. Un hacker que hubiera querido explotar esta falla de seguridad simplemente habría tenido hacer una videollamada con un paquete mal formado y bloquear así la aplicación.

Al reabrir WhatsApp, el hacker habría tenido acceso a todas las conversaciones del teléfono, necesitando solamente el número de teléfono conectado al perfil de WhatsApp. Al ser un problema de alto nivel, un usuario puede hacer poco o nada para evitar que el pirata informático aproveche la vulnerabilidad, aparte de evitar responder a videollamadas procedentes de números desconocidos.