La mayor aplicación del mundo, en el punto de mira. El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha elaborado un informe en el que alerta de los riesgos de utilizar WhatsApp, como la debilidad del proceso de registro en la aplicación, el borrado inseguro de conversaciones o la posibilidad de que se produzcan robos de cuentas. El informe aborda los principales riesgos de uso de esta plataforma que, debido a su gran aceptación, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios. Así lo reseña abc.es
«La compartición de información personal sensible que se produce a diario en esta plataforma, junto con la escasa percepción de riesgo que los usuarios tienen con los dispositivos móviles, ha convertido a WhatsApp en un entorno atractivo para intrusos y ciberatacantes», subraya. El informe incide en que desde sus inicios los creadores de WhatsApp «han descuidado algunos elementos básicos» en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación que alberga a más de mil millones de usuarios en todo el mundo.
Frágil proceso de alta y verificación
En concreto, señala que la carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios. A este respecto, el informe alerta de que este proceso puede llegar a propiciar que un intruso se haga con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre.
Posible secuestro de cuentas
Asimismo, el organismo también indica que existe el riesgo de secuestro de cuentas aprovechando fallos de la red y califica de «inseguro» el borrado de conversaciones, uno de los fallos más comunes en las aplicaciones de mensajería. Los expertos creen que los cibercriminales pueden utilizar fallos de la red para grabar llamadas, leer SMS o detectar la localización del dispositivo utilizando el mismo sistema que la red del teléfono.
Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se puede realizar de forma sencillo haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma se consigue recibir un código d e verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones. Aconseja acudir a Ajustes/Cuenta/Seguridad y activar las notificaciones de seguridad.
Robo de cuentas por SMS
Algunos de los ataques con mayor índice de éxito no implican el uso de vectores de ataque avanzados o tecnologías ó lo accesible para unos pocos. Un posible descuidoo pérdida del teléfono (a pesar de tener los mecanismos de bloqueo de pantalla y código de seguridad) puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de una forma sencilla.
El primer método tiene que ver con el sistema de registro de la aplicación. Un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriame nte su terminal y obteniendo acceso a la sesión de la víctima. Para evitarlo, se procederá a desactivar la previsualización del remitente y contenido en la pantalla de bloqueo del terminal.
Robo de cuentas por llamadas
De forma similar a la descrita anteriormente, es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica. Si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante 5 minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación.
El problema de esta fórmula de ataque reside en la dificultad para evitarlo, debido a que no existe una opción, tanto para Android como para iPhone, que fuerce al usuario a desbloquear el terminal para poder responder a una llamada, por lo que un atacante con acceso físico siempre podrá responder y completar el ataque. Además, cuando la víctima quiera recuperar el control de su cuenta, deberá esperar, al menos, 30 minutos como plazo de seguridad por la aplicación para obtener un código de verificación nuevo, por lo que durante este periodo de tiempo no existirá forma posible de evitar el secuestro y manipulación de la sesión por parte del atacante.
Por el momento, la única contramedida sería recopilar los diferentes números de teléfono utilizados por la aplicación para realizar estas llamadas de verificación y bloquearlos desde el terminal para no poder realizar la activación utilizando este mecanismo.
Difusión de información sensible en la conexión
El informe también alerta de que se difunde información sensible durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes WiFi públicas o de dudosa procedencia, así como de la posibilidad de robar cuentas mediante SMS o llamada y acceso físico.
Secuestro de datos por la versión de escritorio
En esta línea, también advierte de los peligros de la descarga de WhatsApp en sitios no oficiales, que puede ser empleado por los ciberdelincuentes para cometer fraudes, y del riesgo de sufrir ataques de «phishing» -secuestro de datos- utilizando WhatsApp web.
Almacenamiento de información en base de datos
Otros de los riesgos que detecta el organismo dependiente del CNI se derivan del almacenamiento de la información en la base de datos de forma local en el teléfono y del intercambio de datos personales con Facebook. Para evitar que un atacante pueda tener acceso a toda la información privada que WhatsApp almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al terminal ya que, para cada versión de cifrado nueva publicada, las herramientas se actualizan para poder tratarlas correctamente.
Borrado inseguro
Uno de los fallos más comunes en las aplicaciones de mensajería es la forma insegura que utilizan para borrar las conversaciones almacenadas en el teléfono. Este fallo, que ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, vuelve a afectar a las versiones más recientes de WhatsApp.
El proceso de borrado de una conversación, mensaje o grupo es sencillo en el teléfono, pero no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario. Esto permite mejorar el consumo de recursos en los dispositivos y mejorar el sistema de almacenamiento, actuando de forma similar a la papelera de reciclaje de un ordenador convencional, pero no garantiza el borrado seguro de las conversaciones.
Intercambio de información con Facebook
En el momento de la compra de WhatsApp por parte de Facebook, en febrero de 2014, los fundadores de la aplicación se apresuraron a asegurar que no existirían cambios dentro de la aplicación y que seguirían trabajando de forma independiente, indicando, a través de un post en el blog oficial que «El respeto a su privacidad está codificado en nuestro ADN, y hemos construido WhatsApp en torno al objetivo de conocer un poco acerca de usted como sea posible».
Esta política ha sido mantenida por parte de la compañía hasta la modificación de sus términos y condiciones de uso el jueves 25 de agosto de 2016. El nuevo documento indica una serie de cambios, incluyendo el que WhatsApp, a partir de entonces, transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para «actividades diversas». A pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir,otra información como tu número de teléfono, contactos, hora de última conexión así como tus hábitos de uso de la aplicación serán compartidas con Facebook.