Los riesgos de utilizar WhatsApp

El Centro Criptológico Nacional (CCN) avisa sobre los problemas de seguridad que pueden aparecer al usar la aplicación de mensajería instantánea más extendida del planeta.

Las Tecnologías de la Información y la Comunicación (TIC) se han colado por cada casi todos los resquicios, se han incorporado prácticamente a todos los ámbitos de la vida actual. Reconociendo sus numerosas aportaciones y los avances que han supuesto, hasta ahora impensables en muchos campos, también hay que considerar que entrañan ciertos riesgos respecto a la privacidad, la exposición de los datos personales y la conservación de cierta intimidad.

En lo que se refiere a WhatsApp, según el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), existe también peligro en su utilización, lo cual tiene mayor relevancia por tratarse de la aplicación de mensajería instantánea más popular del mundo.

Información sensible expuesta

Además de la lista de diez peligros al usar WhatsApp, desde el CCN afirman que “la compartición de información personal sensible que se produce a diario en WhatsApp, junto con la escasa percepción de riesgo que los usuarios tienen con la seguridad de la información vinculada a los dispositivos móviles, ha convertido a esta plataforma en un entorno atractivo para intrusos y ciberatacantes”.

Diez peligros al usar WhatsApp

• Seguridad mínima al darse de alta y al verificar la identidad de los usuarios. “Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”, explican desde el CCN. Éste fallo es, como consecuencia de las múltiples vías que abre a un posible ataque, el más importante detectado en la plataforma hasta el momento.
• Secuestro de cuentas por fallo en la red. Las ‘lagunas’ de seguridad del protocolo de comunicaciones SS7 -el estándar global para las telecomunicaciones- facilitan la labor del pirata cibernético. Para protegerse en este caso, los expertos aconsejan activar la opción ‘mostrar notificaciones de seguridad’ accediendo desde la siguiente ruta:
  -Abrir WhatsApp y tocar sobre ajustes.
  -Presionar sobre cuenta y seleccionar seguridad.
  -Dar a ‘mostrar notificaciones de seguridad’.

• Borrado inseguro de conversaciones. Los chats no se borran en su totalidad, por lo que se recomienda desinstalar la aplicación, descargarla de nuevo y comprobar las copias de seguridad.
• Difusión de información sensible durante la conexión inicial. El sistema operativo del cliente, la versión de la aplicación en uso o el número de teléfono registrado pueden quedar expuestos cuando se usan redes Wi-Fi públicas o de dudosa procedencia. La solución es optar por una conexión VPN (una red privada virtual por sus siglas en inglés). “Al usar una VPN se crea una red privada virtual que mantiene todo el tráfico intercambiado por el teléfono con un extra de seguridad. Mientras se navega, se mantiene una conversación o se escucha música, todos los datos enviados y recibidos pasan cifrados entre el emisor y el receptor, añadiendo una nueva capa de seguridad para evitar posibles atacantes que estén interceptando el tráfico de red”, subrayan los técnicos.
• Robo de cuentas mediante SMS y acceso físico al terminal. Aunque se cuente con el bloqueo de pantalla y el código de seguridad para acceder, la simple pérdida del móvil puede permitir que una persona con acceso físico al mismo pueda secuestrar la sesión de WhatsApp. “Un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima como si se tratara de un cambio de terminal. Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima”, afirman desde el CCN. Para evitarlo, se aconseja desactivar la previsualización del remitente y contenido en la pantalla de bloqueo del terminal.

• Robo de cuentas mediante llamada y acceso físico al terminal. “Si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante cinco minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación. El problema de esta fórmula de ataque reside en la dificultad para evitarlo, debido a que no existe una opción, tanto para Android como para iPhone, que fuerce al usuario a desbloquear el terminal para poder responder a una llamada, por lo que un atacante con acceso físico siempre podrá responder y completar el ataque. Por el momento, la única contramedida sería recopilar los diferentes números de teléfono utilizados por la aplicación para realizar estas llamadas de verificación y bloquearlos desde el terminal para no poder realizar la activación utilizando este mecanismo”, indican los especialistas.
• Descargar WhatsApp en sitios no oficiales. Desde el CCN se recomienda bajar la aplicación en el sitio original y evitar los portales no oficiales.
• Ataques de phishing utilizando WhatsApp web. El atacante puede monitorizar un código QR de la web oficial y acceder a la sesión de la víctima.

• Almacenamiento de información en la base de datos. “Para evitar que un atacante pueda tener acceso a toda la información privada que WhatsApp almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al terminal ya que, para cada versión de cifrado nueva publicada, las herramientas se actualizan para poder tratarlas correctamente”, aconsejan desde el CCN.
• Intercambio de datos personales entre Facebook y WhatsApp. A pesar de la polémica suscitada por esta maniobra, ya hay millones de datos privados circulando entre las dos empresas.