TENDENCIAS

Estos son los 9 problemas de seguridad de WhatsApp

3 COMENTARIOS

El Centro Criptológico Nacional (CCN) adscrito el Centro Nacional de Inteligencia (CNI) ha realizado un informe en el que se muestran los riesgos de seguridad que presenta WhatsApp. El informe hace especial hincapié en el robo de cuentas, riesgos de las descargas de links, y en el borrado de conversaciones que, en ocasiones, se vuelve inseguro por fallos en la seguridad de la aplicación.

El estudio se ha llevado a cabo con la penúltima versión de WhatsApp (anterior a agosto de 2016), por lo que se advierte en el mismo que puede que algunos de estos problemas de seguridad se hayan minimizado. Esto es lo que recoge el informe sobre los principales problemas de seguridad a los que se enfrentan los millones de usuarios que usan la app.

Proceso de alta y verificación inseguro

WhatsApp presenta una carencia en el registro de las cuenta y verificación de datos, según recoge el informe. El propio proceso de registro facilita que un intruso pueda hacerse con la cuenta de otro, leer los mensajes que reciba e incluso enviar mensajes en su nombre.

whatsapp-mediatrends

Secuestro de cuentas aprovechando fallos en la red

Aprovechando fallos en la red, los ciberdelincuentes pueden aprovechar para hacer llamadas haciendo creer que el teléfono del atacante es el mismo que el de la víctima. De esta forma se consigue recibir un código de verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones.

Para evitar esto en la medida de lo posible, el CCN recomienda activar la opción Ajustes-Cuenta-Seguridad-Mostrar Notificaciones de Seguridad.

Borrado inseguro de conversaciones

Este es uno de los fallos más habituales de las apps. En el caso de WhatsApp, según el informe, el proceso de borrado de una conversación, mensaje o grupo es sencillo en el móvil, pero no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario. Es decir, en realidad funciona como una papelera de reciclaje de un PC, pero no implica que desaparezca 100% del sistema.

seguridad whatsapp

Robo de cuentas mediante SMS y/o llamadas

Un posible descuido o pérdida del móvil (a pesar de que éste tenga los mecanismos de bloqueo de pantalla y código de seguridad) puede permitir que una persona con acceso físico al mismo pueda secuestrar la sesión de WhatsApp. ¿Cómo lo hace?  Podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal.

En el caso de robo mediante una llamada, el secuestrador debería realizar pasos similares sosteniendo físicamente el teléfono durante 5 minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación.

Intercambio de datos personales entre WhatsApp y Facebook

Los términos del acuerdo de uso entre Facebook y WhatsApp se modificaron el 25 de agosto de 2016 de forma que se incluye que WhatsApp transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para “actividades diversas”. Esto no implica que tus fotografías, mensajes o información de perfil sea compartida, pero sí es susceptible de serlo tu número de teléfono, hora de conexión o hábitos en el uso de la aplicación.

faceboook-whatsapp-mediatrends

Almacenamiento de la información de la base de datos

Las conversaciones, ficheros, mensajes, así como otros datos que maneja la app, se almacenan de forma local dentro del teléfono, a pesar de que se tenga la opción de “backup” en la nube activada en nuestro dispositivo. ¡Cuidado con la descarga de aplicaciones de terceros!

Pishing por utilizar WhatsApp Web

La descarga de WhatsApp Web, la versión de la app para ordenador, implica que todos los mensajes enviados y recibidos estarán sincronizados entre los dispositivos, lo que proporciona más libertad de acceso.

Difusión de información sensible durante la conexión inicial

Durante el establecimiento de la conexión con los servidores de WhatsApp, los usuarios desvelan información sensible como el número de teléfono registrado, el sistema operativo del cliente, y la versión de la aplicación en uso. Si utilizas redes WiFi públicas, la información se vuelve más accesible a los posibles atacantes. El cifrado de extremo a extremo actual de la app lo pone un poco más difícil, pero el CCN advierte que todavía son posibles pequeños fallos de seguridad.

Si deseas conocer el informe completo puedes consultarlo aquí.

HACE 7 MESES

 

¿Tienes algo que añadir a esta historia? Compártelo en los comentarios.

Deja un comentario

3 comentarios