WhatsApp es una de las aplicaciones de mensajería más populares del mundo, con unos 1.500 millones de usuarios mensuales. La aplicación se comercializa como segura con un cifrado de extremo a extremo que impide que los mensajes, fotos, vídeos, mensajes de voz, llamadas y documentos caigan en manos equivocadas. WhatsApp afirma que ni ella ni terceros pueden acceder a estos mensajes.

Sin embargo, un reciente fallo de seguridad que afectó a WhatsApp en teléfonos iOS o Android es un claro recordatorio de que ningún servicio está 100% libre de riesgos.

La brecha podría haber permitido a un actor malicioso instalar un software no autorizado y acceder a los datos personales de los dispositivos que ejecutan WhatsApp. Se cree que el ataque, atribuido en los informes de los medios de comunicación a una empresa privada que colabora con los gobiernos en materia de vigilancia, se cree que se dirigió a un grupo de defensores de los derechos humanos. WhatsApp publicó rápidamente una versión actualizada de su aplicación para solucionar la vulnerabilidad.

Para las empresas, la lección es clara: los planes de seguridad, las plataformas y los procesos deben tener en cuenta y minimizar los riesgos del uso de este tipo de servicios. Recomendamos a las organizaciones que consideren cuidadosamente el uso de aplicaciones de mensajería propias para distribuir información sensible de la empresa o de los clientes, y que apliquen políticas sólidas que regulen el uso de estos servicios para actividades relacionadas con la empresa.

Estas políticas deben estar respaldadas por programas de educación que deben extenderse más allá de la propia plantilla de la organización a los socios, proveedores y otras partes interesadas.

El incidente es también un poderoso recordatorio para los especialistas en seguridad informática de la importancia de instalar actualizaciones lo antes posible para solucionar las vulnerabilidades que pueden dejar una red corporativa abierta a los ataques.

Los informes de los medios de comunicación sobre el ataque a WhatsApp son un recordatorio incómodo para las empresas de que los ciberataques pueden ser llevados a cabo por organizaciones y expertos con buenos recursos y conocimientos técnicos que actúan en nombre de los estados nacionales, así como por grupos criminales e individuos deshonestos. Para las empresas que participan en infraestructuras críticas o sistemas de importancia nacional, esto significa implementar plataformas, arquitecturas y procesos de seguridad -y trabajar con los organismos gubernamentales pertinentes- para reducir el riesgo y el impacto de una brecha.