El CNI contra Whatsapp

La compartición de información personal sensible que se produce a diario en Whatsapp, junto con la escasa percepción de riesgo que los usuarios tienen con la seguridad de la información vinculada a los dispositivos móviles ha convertido a esta plataforma en un entorno atractivo para intrusos y ciberatacantes. El Centro Nacional de Inteligencia ha elaborado un informe en el que llama la atención sobre nueve problemas de seguridad que presenta la app:

1. Secuestro de cuentas aprovechando fallos de la red: Hace unos meses, la firma Positive Technologies hizo público un vídeo mostrando como secuestrar cuentas, tanto de Whatsapp como de otras aplicaciones como Telegram, utilizando fallos conocidos en el protocolo de telecomunicaciones SST. Este protocolo es el estándar global de las telecomunicaciones y define el proceso mediante el cual los elementos de una red de telefonía intercambian información sobre una red digital para efectuar el enrutamiento. Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla. Como alternativa, se recomienda activar la opción de "Mostrar notificaciones de seguridad": abrir Whatsapp y presionar sobre ajustes; tocar en cuenta y seleccionar seguridad; en esta pantalla se pueden habilitar las notificaciones de seguridad cuando se selecciona mostrar notificaciones de seguridad.

2. Borrado inseguro de conversaciones: Uno de los fallos más comunes en las aplicaciones de mensajería es la forma insegura que utilizan para borrar las conversaciones almacenadas en el teléfono. El proceso de borrado es sencillo en el teléfono, pero no siempre implica la eliminación directa de los mensajes. Como medida preventiva, y mientras los creadores de la aplicación no implementen otros mecanismos para el borrado de los datos, la única forma de eliminar estas conversaciones de una forma segura es desinstalar la app y volverla a instalar.

3. Difusión de información sensible durante la conexión inicial: durante el establecimiento de conexión con los servidores de la aplicación Whasapp intercambia en texto claro información sensible acerca del usuario. Esta información puede quedar expuesta a cualquier atacante en el caso de utilizar redes WiFi públicas o de dudosa procedencia.

4. Robo de cuentas mediante SMS y acceso físico: Algunos de los ataques con mayor índice de éxito no implican el uso de vectores de ataque avanzados o tecnología sólo accesible para unos pocos. Un posible descuido o pérdida del teléfono puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de Whatsapp de forma sencilla.

5. Robo de cuentas mediante llamada y acceso físico: De forma similar a la descrita anteriormente, es posible secuestrar una sesión de Whatsapp utilizando la opción de verificación por llamada telefónica. Si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante 5 minutos para acceder a la verificación por llamada, descolgar y obtener el código de verificación.

6. Peligros de la descarga de Whatsapp de Markets no oficiales: cuanto más famosa es una aplicación, más interesante se vuelve para los ciberdelincuentes para la realización de fraudes. Como gancho para captar usuarios, normalmente, se utilizan las características más novedosas de la aplicación o la promesa de funciones poco fiables, como la posibilidad de espiar otras cuentas u obtener servicios no disponibles oficialmente. Como, por ejemplo, el caso de una aplicación denominada Whatsapp Trendy Blue, que prometía altas posibilidades de personalización y características no disponibles en la versión oficial. Además de este caso, existen innumerables estafas como la aplicación Whatsapp Plus que prometía herramientas personalizadas

7. Atques de Phishing utilizando Whatsapp web: Whatsapp Web es una extensión de la cuenta del teléfono móvil que permite usar la popular aplicación de mensajería desde cualquier equipo de sobremesa o portátil. Todos los mensajes enviados y recibidos estarán sincronizados entre los dispositivos, dando más libertad de uso a los usuarios.

8. Almacenamiento de la información en la base de datos: La base de datos de conversaciones, ficheros, mensajes, así como otros datos que maneja la aplicación, se almacena de forma local dentro del teléfono, independientemente de que se tenga la opción de "backup" en la nube activada en nuestro dispositivo. Como se ha visto en apartados anteriores, Whatsapp utiliza SQLite para almacenar este tipo de información en la base de datos, por lo que si un atacante lograra hacerse con este fichero podría acceder a todas las conversaciones y datos privados del usuario.

9. Intercambio de datos personales entre Whatsapp y Facebook: En el momento de la compra de Whatsapp por parte de Facebook, en febrero de 2014, los fundadores de la aplicación se apresuraron a asegurar que no existirían cambios dentro de la aplicación y que seguirían trabajando de forma independiente, indicando, a través de un post en el blog oficial que "El respeto a su privacidad está codificado en nuestro ADN, y hemos construido Whatsapp en torno al objetivo de conocer un poco acerca de usted como sea posible." Esta política ha sido mantenida por parte de la compañía hasta la modificación de sus términos y condiciones de uso el jueves 25 de agosto de 2016. El nuevo documento9 indica una serie de cambios, incluyendo el que Whatsapp, a partir de entonces, transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para "actividades diversas". A pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, otra información como tu número de teléfono, contactos, hora de última conexión así como tus hábitos de uso de la aplicación serán compartidas con Facebook