La popular app de mensajería siempre ha estado en el punto de mira en lo que a seguridad se refiere. El hecho de que Whatsapp fuera adquirida por Facebook, lejos de ayudar en este aspecto, ha incrementado los riesgos. Los últimos, relacionados con la privacidad de los datos que dan los usuarios y que a su vez tienen perfil en el servicio de Zuckerberg.
Sin embargo, y a pesar de las advertencias y de los informes en contra de Whatsapp, los usuarios no tienen intención de pasarse a otras apps similares pero que carecen de los problemas de seguridad de Whatsapp. Dado que la comunidad de miembros de la app no parecen tener intención de abandonarla, hasta el Centro Criptológico Nacional (CCN)se ha propuesto que, al menos, los usuarios sepan a lo que se enfrentan.
Según señalan desde el organismo público, en un informe publicado en los últimos días se señala que la compartición de información personal sensible que se produce a diario en esta plataforma, junto con la escasa percepción de riesgo que los usuarios tienen con los dispositivos móviles, ha convertido a WhatsApp en un entorno atractivo para intrusos y ciberatacantes.
Uno de los fallos más comunes en WhatsApp es la forma insegura que utilizan para borrar las conversaciones almacenadas en el teléfono
En el organismo público apuntan a que desde sus inicios,los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación. Según el informe, la carencia más importante de la plataforma hasta el momento ha residido en la seguridad en el proceso de alta y verificación de los usuarios. Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre. Son numerosas las cuentas que han sido secuestradas, o al menos duplicadas, debido a ese fallo de seguridad. De esta forma, el usuario de Whatsapp estará geolocalizado de forma constante por el intruso, a la par que tendrá acceso a todo el registro de conversaciones, mensajes, etc. El problema de este fallo es que no tiene solución ya que no depende de la propia aplicación en sí sino de un fallo de red. En cualquier caso, conviene activar la opción de “Mostrar notificaciones de seguridad”, que hará que Whatsapp informe si el usuario ha cambiado de teléfono (o en caso contrario, que su Whatsapp ha sido interceptado).
Borrado no seguro de las conversaciones
Uno de los fallos más comunes en WhatsApp es la forma insegura que utilizan para borrar las conversaciones almacenadas en el teléfono. Este fallo, que ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, vuelve a afectar a las versiones más recientes de WhatsApp. Y es que, en contra de la creencia popular de que cuando se borra una conversación, ya se ha eliminado definitivamente, lo cierto es que sino que éstos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones. Más explicativo: pruebe a mandar un mensaje a otro usuario. Una vez que lo mande, bórrelo. Ahora empiece a escribir otra vez el mismo mensaje: en la pantalla de su teléfono irán apareciendo, una a una, todas las palabras que ha empleado en el mensaje anterior. Esto se hace para mejorar el sistema de almacenamiento y reducir el consumo del terminal, pero, claramente a costa de la seguridad.
Más fallos. Uno de los principales riesgos de Whatsapp es cuando el usuario se da de alta por primera vez. En este caso quedan expuestos a cibercriminales el sistema operativo del cliente, la versión de la aplicación en uso y el número de teléfono con el que se esté realizando el registro. Si el alta se realiza a través de una wifi pública el riesgo se incrementa de forma sensible. Sólo con el empleo de una red privada virtual (VPN) se puede solucionar este problema.
El error más importante
Buena parte de los usuarios seguirán confiando en Whatsapp a pesar de estas advertencias o riesgos, pero la realidad es que el robo de cuentas mediante SMS o mediante acceso físico es de lo más normal. En este caso el procedimiento consiste en que un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima.
Buena parte de los usuarios seguirán confiando en Whatsapp a pesar de estas advertencias o riesgos, pero la realidad es que el robo de cuentas mediante SMS o mediante acceso físico es de lo más normal
Muchos usuarios pensarán que a ellos no les afecta, pero es de lo más común. Tan sólo hay que buscar el Google métodos para acceder a un whatsapp ajeno. Maridos desconfiados, novias celosas, etc. suelen ser los más interesados en el uso de este tipo de métodos delictivos e ilegales
Además, según recalcan desde el CCN existe un creciente número de estafas que se producen mediante el empleo de Whatsapp. Algunas de ellas tan conocidas como el Whatsapp Plus que prometía herramientas personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones y que, a principios de año, obligó al servicio oficial a bloquear todas las cuentas de los usuarios que se hubiesen descargado la aplicación falsa (según las estadísticas fue instalada en los teléfonos de más de 35 millones de usuarios).
Relacionado con este último aspecto también se han detectado innumerables casos de Phising, sobre todo cuando esta app se utiliza con un ordenador en vez de con el smartphone. Con la falsa promesa de promociones exclusivas de grandes empresas o de descuentos en productos del momento, un posible atacante puede sugerir a la víctima escanear un código QR con su aplicación para acceder a estas ventajas, cuando en realidad está robando las credenciales de inicio de sesión.
La base de datos
¿Qué hace whatsapp con tanto dato? Esa es la clave de la existencia. Zuckerberg gana dinero gracias a que el usuario acepta los términos y condiciones e inmediatamente, el usuario deja de ser el cliente para convertirse en la mercancía. Todas las compras realizadas por el dueño de Facebook van encaminadas al mismo lugar: el dato y la posibilidad que se le ofrece de negociar con él: Instagram, whatsapp, Face.com, Oculus,… El problema de esa base de datos es que, como todas, es vulnerable, y a lo mejor cae en manos que muchos usuarios no desearían.
Además, y en lo que se refiere a la privacidad, desde Facebook ya no dudan. Saben que el usuario va a seguir aceptando sus condiciones (salvo si hay que pagar) y ya lo expresan abiertamente. El pasao 25 de agosto, Zuckerberg cambió las condiciones de contrato de Whatsapp. El nuevo documento indica una serie de cambios, incluyendo el que WhatsApp, a partir de entonces, transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para “actividades diversas”. A pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, otra información como el número de teléfono, contactos, hora de última conexión así como los hábitos de uso de la aplicación serán compartidas con Facebook.
Y a pesar de todo esto, los usuarios seguirán haciendo un uso de masivo de WhatsApp sin tener en cuenta los riesgos que se están corriendo.
