AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**WhatsApp refuerza su app con IA generativa, doble cuenta en iOS y migración avanzada de chats**

admin

### Introducción

WhatsApp, la aplicación de mensajería instantánea propiedad de Meta, ha anunciado una batería de nuevas funcionalidades orientadas a mejorar la experiencia de usuario, la interoperabilidad entre plataformas y la seguridad operativa. Entre las novedades más relevantes destacan la integración de respuestas automáticas potenciadas por IA generativa, la edición y mejora de imágenes mediante inteligencia artificial, la posibilidad de operar con dos cuentas simultáneas en dispositivos iOS y un sistema avanzado para transferir el historial de chats entre iOS y Android. Este conjunto de mejoras, que ya se está desplegando de forma progresiva, plantea consideraciones técnicas y de seguridad relevantes para equipos de ciberseguridad, CISOs y administradores de sistemas responsables de la gestión de dispositivos móviles corporativos.

### Contexto del Incidente o Vulnerabilidad

El ecosistema de WhatsApp, con más de 2.000 millones de usuarios activos, representa un vector de ataque recurrente para actores maliciosos. La introducción de nuevas funcionalidades, especialmente aquellas basadas en inteligencia artificial y sincronización multi-dispositivo, suele incrementar la superficie de ataque y plantea nuevos retos en cuanto a protección de datos y cumplimiento normativo bajo marcos como el RGPD y la Directiva NIS2. Además, la gestión de cuentas múltiples y la migración de historiales entre sistemas operativos pueden generar riesgos de fuga de información y exposición accidental de datos sensibles, especialmente en entornos BYOD y corporativos.

### Detalles Técnicos

#### Respuestas automáticas y edición de imágenes con IA

WhatsApp ha comenzado a desplegar, inicialmente en mercados seleccionados, funciones basadas en IA generativa que permiten sugerir respuestas automáticas contextualizadas en conversaciones e incluso retocar imágenes enviadas o recibidas, similar a lo visto en plataformas como Google Photos. Meta ha confirmado el uso de modelos propios de lenguaje natural y visión computacional, aunque no ha especificado versiones exactas ni frameworks subyacentes. Estos modelos gestionan tanto el procesamiento local como en la nube, lo que implica transferencias de datos cifrados de extremo a extremo (E2EE) conforme al protocolo Signal.

#### Soporte para múltiples cuentas en iOS

La nueva función de doble cuenta, hasta ahora exclusiva de Android, permite en iOS la gestión simultánea de dos perfiles activos en la app, sin necesidad de recurrir a dispositivos secundarios ni soluciones de virtualización. Esta funcionalidad se soporta a partir de la versión 23.14.79 de WhatsApp para iOS y requiere que ambas cuentas estén asociadas a números de teléfono distintos y verificados. Los administradores de MDM deberán considerar los nuevos parámetros de configuración y las implicaciones para la gestión de identidades y accesos.

#### Transferencia de historial entre iOS y Android

WhatsApp facilita ahora la migración completa del historial de chats —incluyendo archivos multimedia y mensajes cifrados— entre dispositivos iOS y Android, sin depender de copias de seguridad en la nube. El sistema utiliza un canal peer-to-peer cifrado temporalmente, basado en un QR code generado en el dispositivo origen, permitiendo una transferencia controlada y minimizando la exposición a ataques man-in-the-middle (MITM). No obstante, la operación requiere que ambos dispositivos estén físicamente próximos y conectados a la misma red Wi-Fi.

#### Vectores de ataque y TTPs

La adopción de estas funciones implica la aparición de nuevos vectores, como la posible explotación de vulnerabilidades en los módulos de IA, riesgos de suplantación de cuentas en el proceso de verificación múltiple o ataques de ingeniería social aprovechando la transferencia de chats. El MITRE ATT&CK Framework identifica técnicas relevantes como T1078 (Account Manipulation), T1110 (Brute Force – para el acceso a cuentas dobles) y T1557 (Man-in-the-Middle – durante la migración de chats).

### Impacto y Riesgos

La ampliación de funcionalidades puede impactar directamente en la seguridad y privacidad de los usuarios, especialmente en entornos corporativos sujetos a regulaciones estrictas. Los principales riesgos identificados incluyen:

– **Fuga de información**: La gestión simultánea de múltiples cuentas puede facilitar la exfiltración accidental o deliberada de datos.
– **Aumento de la superficie de ataque**: Los nuevos módulos de IA, si no están adecuadamente securizados, pueden ser objetivo de ataques de prompt injection o manipulación de respuestas.
– **Compromiso de datos durante la migración**: Aunque la transferencia peer-to-peer es cifrada, la exposición física de ambos dispositivos abre la puerta a ataques de proximidad y phishing.
– **Conflictos de cumplimiento**: El procesamiento de datos por IA, especialmente si se realiza en la nube, puede contravenir la normativa GDPR si no se gestiona correctamente la localización y el consentimiento.

### Medidas de Mitigación y Recomendaciones

Los equipos de ciberseguridad deben:

– **Revisar y actualizar las políticas de MDM** para restringir la gestión de múltiples cuentas en dispositivos corporativos.
– **Monitorizar actividades sospechosas** asociadas a la transferencia de historiales y la activación de nuevas funcionalidades IA.
– **Formar a los usuarios** sobre los riesgos de ingeniería social en procesos de migración y la importancia de la verificación física.
– **Solicitar información a Meta** sobre los modelos de IA utilizados y su cumplimiento con RGPD y NIS2.
– **Aplicar parches y actualizaciones** de forma prioritaria, especialmente en versiones iOS a partir de la 23.14.79 y sus equivalentes en Android.

### Opinión de Expertos

Especialistas en seguridad móvil como Kaspersky o ESET advierten que la integración de IA en aplicaciones de mensajería, aunque mejora la experiencia de usuario, debe ser auditada periódicamente para evitar filtraciones de información y manipulación de respuestas. Asimismo, el soporte multi-cuenta incrementa la complejidad operativa y requiere una gestión más granular de accesos y registros de actividad.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, estas novedades suponen tanto una oportunidad para optimizar la productividad como un reto en la protección de la información confidencial y el cumplimiento normativo. El despliegue de herramientas de monitorización avanzada y la definición de políticas estrictas de uso serán clave para mitigar posibles incidentes. Los usuarios, por su parte, deben extremar la precaución en la gestión de cuentas y la utilización de funciones IA, especialmente en contextos profesionales.

### Conclusiones

La evolución de WhatsApp hacia una plataforma más inteligente y flexible responde a las demandas del mercado, pero exige a los responsables de seguridad anticiparse a los riesgos asociados. El equilibrio entre funcionalidad, usabilidad y protección de datos será determinante en la adopción segura de estas nuevas capacidades.

(Fuente: www.bleepingcomputer.com)