El CCN-CERT, del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha publicado un informe de amenazas donde recoge los principales riesgos en el uso de WhatsApp. La gran popularidad de esta aplicación de mensajería atrae a los ciberdelincuentes y la coloca en el punto de mira de la seguridad. Su proceso de alta, el secuestro de la cuenta, la difusión de información personal… son varias las cuestiones analizadas por el CNI que pasamos a repasar.
La misión del CCN-CERT es la de “contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques”. Por ello, no pierde de vista a WhatsApp, la popular aplicación de mensajería para móviles que fue lanzada en el año 2009. La aplicación fue una de las principales culpables del declive en el uso de los SMS al ser gratuita en la mayoría de plataformas.
WhatsApp y sus problemas de seguridad
La plataforma se ha convertido en el foco de las amenazas informáticas y un objetivo prioritario para los ciberdelincuentes. Esto es debido a la información sensible que compartimos junto con la escasa percepción del riesgo que demuestran algunas personas. Además, desde su creación, los responsables de la aplicación han descuidado algunas medidas básicas de protección que poco a poco han ido corrigiendo.
Secuestro de cuenta
Para el CNI, la carencia más importante está en el proceso de alta y verificación de los usuarios. La configuración del proceso permite que un intruso pueda hacerse con la cuenta de otra persona, leer sus mensajes e incluso enviar mensajes en su nombre. Por ello, desde WhatsApp trabajan en un método de doble verificación que podría llegar muy pronto a todos los usuarios.
El protocolo de telecomunicaciones SS7 tiene muchos fallos conocidos y algunos de ellos se han utilizado para interceptar llamadas, leer SMS o detectar la localización de los dispositivos. Aunque no es algo propio de WhatsApp, el CNI considera que la aplicación no cuenta con las medidas de seguridad necesarias para mitigar estos fallos.
Borrado de conversaciones
Otro de los problemas de WhatsApp reside en el borrado inseguro de las aplicaciones. Utilizando técnicas forenses es posible obtener los registros de las conversaciones. Para ello, es necesario entender el funcionamiento de la base de datos SQLite. El caso es que los mensajes que borramos no desaparecen, simplemente se indica que pueden ser “sobrescritos” en la base de datos.
Las copias de seguridad no ayudan ya que pueden llegar a respaldar una conversación que ha sido borrada o algunos mensajes. Desde el CNI recomiendan borrar la aplicación cada cierto tiempo del terminal y volver a instalarla mientras no se implemente un método más efectivo de borrado por parte de los desarrolladores.
Difusión de información sensible
Cuando WhatsApp establece una conexión con los servidores, intercambia en texto claro información como el sistema operativo del cliente, la versión de la aplicación o el número de teléfono registrado. Esta información puede quedar expuesta en el caso de utilizar redes WiFi públicas.
En la imagen superior se puede comprobar cómo se envía la información, aunque con la implementación del cifrado extremo a extremo, ahora se hace en binario. Sin embargo, esto sigue enviándose en texto plano por lo que cualquier con acceso podría llegar a conseguir estos datos.
Descarga desde tiendas de aplicaciones no oficiales
Un problema muy frecuente en Android, que no sólo afecta a WhatsApp, está relacionado con la descarga desde tiendas de aplicaciones no oficiales. Normalmente, se intenta ofrecer versiones vitaminadas de la aplicación con nombres como WhatsApp Gold o WhatsApp Trendy Blue. Estas aplicaciones prometen la máxima personalización y funciones no oficiales como espiar a nuestros contactos.
Pero nada más lejos de la realidad. Estas aplicaciones suelen redireccionarnos a webs donde tenemos que introducir nuestro número de teléfono, algo que nos suscribe a un servicio de SMS Premium que suele darnos un buen susto en la factura mensual. WhatsApp sólo hay una y lo mejor es descargarla desde Google Play o App Store.
Otros fallos de seguridad
Estos son algunos ejemplos de los riesgos para la seguridad a los que nos expone el uso de WhatsApp, o al menos, no controlar algunos aspectos clave y no tomar las medidas de protección necesarias. Os invitamos a leer el resto del informe en la web del Centro Criptológico Nacional (CCN).