En mayo de 2011 se descubría una vulnerabilidad crítica en Whatsapp: este problema hacía que las sesiones de usuarios pudieran ser «secuestradas» y que el ciberatacante pudiera tener acceso a información. Desde entonces, y a pesar del cifrado extremo a extremo, la aplicación no ha dejado de estar en el ojo del huracán. Recientemente, el CCN-CERT, centro español creado en 2006 para respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, ha confeccionado un informe donde ha analizado diez riesgos del uso de whatsapp para las versiones anteriores a agosto de 2016.
- Alta: las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre.
- Secuestro de cuentas ante fallos de conexión: aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma se consigue recibir un código de verificación de WhatsApp válido.
- Compromiso de la integridad de las conversaciones: teniendo acceso al terminal y utilizando técnicas forenses, es posible acceder a partes de chats que supuestamente ya no existen. Además, hay que tener en cuenta las implicaciones cuando se tenga activa la opción de copia de seguridad (disponible a través de iCloud o Google Drive), ya que esta información también será respaldada de forma automática.
- Difusión de información durante la conexión inicial: durante el establecimiento de conexión con los servidores de la aplicación WhatsApp intercambia en texto claro información sensible acerca del usuario, como el sistema operativo del cliente, la versión de la aplicación en uso o el número de teléfono registrado.
- Robo de cuentas mediante SMS o acceso físico al terminal: un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima.
- Robo de cuentas mediante llamada y acceso físico al terminal: si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante 5 minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación.
- Descarga de la aplicación desde un lugar no oficial: existen innumerables estafas como la aplicación Whatsapp Plus, que prometía herramientas personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones.
- Phising en la versión web de Whatsapp: se ha popularizado su uso tanto de forma personal como en los trabajos para comunicación rápida y efectiva aunque encierra ciertos peligros. Un posible atacante puede sugerir a la víctima escanear un código QR con su aplicación para acceder a estas ventajas, cuando en realidad está robando las credenciales de inicio de sesión.
- Almacenar la información en la base de datos: la base de datos de conversaciones, ficheros, mensajes, así como otros datos que maneja la aplicación, se almacena de forma local dentro del teléfono, independientemente de que se tenga la opción de backup en la nube activada en nuestro dispositivo. Si un atacante se hiciera con el fichero almacenado en SQLite, en función de la versión utilizada, existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información contenida.
- Intercambio de datos entre Whatsapp y Facebook: la Agencia Española de Protección de Datos, al igual que sus homólogas en Alemania o Reino Unido, ya están investigando la legalidad de esta política. Tu número de teléfono, contactos, hora de última conexión así como tus hábitos de uso de la aplicación serán compartidas con Facebook
¿Que recomendaciones básicas debemos tener al usar Whatsapp?
Algunas recomendaciones de seguridad para Whatsapp en iOS y Android Share on X- Mantener el teléfono bloqueado. De esta forma se reducirá el riesgo si el teléfono cae en las manos equivocadas.
- Eliminar las previsualizaciones de los SMS o mensajes en iOS y extremar las medidas cuando no se disponga del teléfono al alcance.
- Eliminar las previsualizaciones de whatsapp
- Eliminar los accesos desde pantalla bloqueada.
- Tener cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten en nuestro teléfono, especialmente cuando se trata de terminales Android.
- Conocer los riesgos que implica realizar “jailbreaking” o” rooting” del terminal.
- Desactivar la conectividad adicional del teléfono cuando no se vaya a utilizar, como podría ser la conexión Wi-Fi o Bluetooth.
- No almacenar copia de seguridad de las conversaciones.
- Borrar la aplicación antes de realizar el reseteo a valores de fábrica cuando jubilemos el terminal.
- Tener activadas las notificaciones de seguridad (dentro de la aplicación en ajustes > cuenta > seguridad).
- Usar una conexión VPN.
- Recopilar los diferentes números de teléfono utilizados por la aplicación para realizar llamadas de verificación y bloquearlos desde el terminal ya que es posible descolgar teniendo el terminal bloqueado.
- Mantener el sistema operativo y la aplicación actualizadas.
- Usar antivirus para móviles.
- Usar siempre código de seguridad de más de 4 dígitos.
Sin comentarios