Una semana más, en tuexpertoAPPS queremos desmigar otro de los aspectos de la herramienta de comunicación más conocida y extendida en el mundo de los smartphones. Así, esta vez le toca el turno a la seguridad de WhatsApp. O, más bien, a su historial de problemas de seguridad que tanto ha dado que hablar hace tan sólo algo más de un año. Además comentaremos algunas medidas o trucos para evitar posibles problemas que pongan en peligro la seguridad o intimidad del usuario de esta aplicación.
WhatsApp no ha sido una aplicación segura desde sus inicios. Una afirmación que puede pillar por sorpresa a los usuarios más recientes de esta herramienta de mensajería instantánea, pero que es completamente cierta. Como toda startup o empresa pequeña de rápido crecimiento y elevado riesgo, esta aplicación ha ido mejorando poco a poco, añadiendo nuevas medidas de seguridad según se descubrían los problemas. Algunos tan graves y llamativos como la suplantación de identidad. Cuestiones que han conseguido quedar resueltas, aunque aún existen cabos sueltos.
Uno de los puntos más criticados de WhatsApp desde sus orígenes, y que tantas otras alternativas seguras han aprovechado como eslogan para arañar unos cuantos usuarios, ha sido el de la falta de protección de sus mensajes. Y es que en un inicio WhatsApp no encriptaba o protegía bajo contraseña la información enviada y recibida por los usuarios, creyendo ingenuamente que no habría terceras personas (hackers) que se aprovecharían de algún agujero o puerta trasera para acceder y espiar esta información.
Esto cambió con la utilización de un código a modo de clave para cifrar y decodificar la información enviada. El problema en este caso residía en que la clave era el número IMEI o número de dirección MAC. Códigos únicos para cada terminal que deberían aportar suficiente seguridad para que la información robada no pudiera ser descifrada por terceros. Sin embargo, estas claves son relativamente sencillas de conseguir, logrando a su vez robar y descifrar los contenidos enviados por WhatsApp. Una cuestión que finalmente ha sido resuelta aplicando un protocolo de seguridad SSL, que se basa en el encriptación y la autenticación. De esta manera, las comunicaciones entre el usuario y el servidor de WhatsApp quedan protegidas por claves que sólo se utilizan y conocen en esta parte del proceso de comunicación, sin que sea producido a través de otra clave conocida.
Esto ha evitado uno de los problemas más llamativos y preocupantes de WhatsApp, la suplantación de identidad. Algo que se ha llegado a producir, aunque bajo condiciones bastante especiales. Así, gracias al blog se seguridad Security by default, pudimos conocer que esta práctica se puede llevar a cabo, introduciéndose en conversaciones ajenas y enviando todo tipo de contenidos sin ser el usuario real. Cuestión que, afortunadamente, es difícil de reproducir debido a las capas de seguridad que WhatsApp ha añadido con cada actualización, además de depender de las herramientas y conocimientos informáticos avanzados. Todo ello a través de una conexión a Internet WiFi donde el usuario y el atacante estén conectados. Requisitos que difícilmente se dan.
Con estas medidas de seguridad, además, también se ha logrado evitar el espionaje de conversaciones ajenas. Algo que, además de amoral es completamente ilegal, a la par que imposible. Por ello no hay que creerse la existencia de herramientas y programas para llevar a cabo esta práctica, siendo en realidad sistemas para captar incautos y lograr que se suscriban involuntariamente o inconscientemente a servicios Premium o de pago, o simplemente para robarles datos como númerod de teléfono o direcciones de correo electrónico que luego se venden en el mercado negro como información para publicidad spam u otras prácticas.
Sin embargo, a pesar de que estas medidas de seguridad han logrado progresivamente y con cada actualización proteger al usuario, aún existen puntos más o menos débiles que WhatsApp debería corregir próximamente. Según el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRTCV), aún hay información sensible como datos de posicionamiento recogidos por el sensor GPS, así como los mensajes enviados y recibidos, que quedan almacenados en la tarjeta de memoria o en la memoria del terminal. Todos ellos protegidos y encriptados bajo una clave que ya es conocida en el mundo de las auditorías de seguridad y los hackers y que, por tanto, puede poner en jaque la privacidad de dicha información. Sin embargo, es necesario que se den circunstancias muy concretas y que el hacker o ladrón de información disponga de los conocimientos y herramientas necesarias.
Junto a ello, el CSIRTCV también pone el punto de atención sobre las copias de seguridad de las conversaciones que quedan almacenadas en los terminales y tarjetas de memoria para evitar perder la información enviada y recibida si existe algún problema o se cambia de dispositivo. Archivos que pueden contener información sensible y que, con técnicas forenses, podrían ser rastreados incluso después de borrados. Claro está que se trata de técnicas profesionales de una elevada complejidad y que no suponen un riesgo directo ni mucho menos común.
Ante todo esto, el usuario de WhatsApp debe sentirse bastante seguro. Y es que las medidas de seguridad actuales de esta aplicación cumplen a la perfección su cometido. Prueba de ello es la ausencia de noticias acerca de fallos de seguridad y puertas traseras que sí se sucedían hacer algo más de un año, cuando WhatsApp ya contaba con una gran fama, pero sin una herramienta demasiado confiable.
Aún así, nunca está de más tener en cuenta que las conexiones WiFi, sobre todo las de lugares públicos y muy frecuentadas, pueden ser un riesgo para el usuario. Conexiones a través de las cuales pueden colarse virus o programas piratas para el robo de información. Por ello, en la medida de lo posible, conviene evitarlas, haciendo uso de la conexión de datos contratada o evitando las conexiones WiFi de lugares con demasiado tránsito. Junto a ello, hay que poner atención siempre a las actualizaciones de WhatsApp, sabiendo que en ellas, junto a mejoras o nuevas funciones y de forma habitual, también existen mejoras de seguridad y nuevas protecciones.
