Los diez principales fallos de seguridad de WhatsApp según el CNI

Verónica Sánchez Moreno

El CCN-CERT, es decir, la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), que está adscrito al Centro Nacional de Inteligencia (CNI), señala una serie de riesgos de la aplicación de mensajería instantánea más utilizada en España.

Compartimos fotos, enlaces, vídeos, hablamos de temas privados, de nuestras familias, de nuestro trabajo… todo ello a través de WhatsApp. Si pensamos en la cantidad de información emitida por cada usuario a través de esta plataforma, es fácil deducir lo “jugoso” que resulta para los ciberatacantes. A ello se une, como advierte el CCN-CERT en un reciente informe, “la escasa percepción de riesgo que los usuarios tienen con la seguridad de la información vinculada a los dispositivos móviles”. Dicho documento destaca, además, la falta de cuidado de los creadores de WhatsApp en cuanto a la protección de la aplicación y la “carencia” de “la seguridad en el proceso de alta y verificación de los datos”.

Así pues, diez son los principales fallos de seguridad de WhatsApp que todo usuario de la aplicación debería tener en cuenta:

1. Secuestro de cuentas: Aprovechando los fallos de seguridad del protocolo SS7 (estándar global para las telecomunicaciones) se puede hacer creer a la red telefónica que el atacante tiene el mismo número de teléfono que la víctima, para así conseguir un código de verificación de WhatsApp válido, lo que permite tener acceso completo a la cuenta de ésta.
   Solución: Aunque no hay una forma de resolver este fallo, el CCN-CERT recomienda activar la opción “Mostrar notificaciones de de seguridad” (en Ajustes-Cuenta-Seguridad-Mostrar notificaciones de seguridad) por si se iniciase una nueva sesión con nuestra cuenta.
2. Borrado inseguro de las conversaciones: Al borrar una conversación, mensaje o grupo, la aplicación actúa como la papelera de reciclaje de un ordenador convencional, por lo que dicha información no se elimina completamente. A ello hay que añadir que, si tenemos señalada la opción de copia de seguridad, aunque eliminemos las conversaciones, éstas quedarán guardadas en “la nube”, y podrían “ser recuperadas en un futuro”.
   Solución: Desinstalar la aplicación, eso sí, teniendo en cuenta que esto no eliminará las copias de seguridad.
3. Difusión de información sensible durante la conexión inicial: Al inicio de la conexión, WhatsApp intercambia con el servidor información como el sistema operativo del cliente, la versión de la aplicación que se está usando o el número de teléfono registrado, una información que puede quedar expuesta si nos conectamos a través de redes Wi-Fi públicas.
   Solución: Usar una conexión VPN (red privada virtual).
4. Robo de cuentas mediante SMS y acceso físico: Si tenemos activada la opción de “previsualización” de mensajes en pantalla bloqueada, cualquier atacante que tenga acceso físico a nuestro terminal podrá observar el código de seguridad que el teléfono reciba.
   Solución: Desactivar la previsualización del remitente y contenido cuando el terminal esté bloqueado.
5. Robo de cuentas mediante llamada y acceso físico: Al utilizar el método de verificación por llamada telefónica el atacante que tenga acceso físico a nuestro teléfono podrá descolgar y obtener el código de verificación.
   Solución: No se puede evitar ya que tanto en Android como en iPhone no existe una opción que, tal y como señala el CCN-CERT, “fuerce al usuario a desbloquear el terminal para poder responder a una llamada”.
6. Peligros de la descarga de aplicaciones de WhatsApp no oficiales: Estafas como la aplicación WhatsApp Trendy Blue o WhatsApp Plus, que no están asociadas a WhatsApp y que, con la promesa de funciones poco fiables como espiar otras cuentas o disponer de herramientas personalizadas, lo que obtienen es un beneficio económico a través de la suscripción del usuario a SMS Premium.
   Solución: No descargarse ninguna aplicación no oficial.
7. Ataques de phishing utilizando WhatsApp Web: Para utilizar WhatsApp en nuestro ordenador, es necesario escanear un código QR con el móvil para sincronizarlos. Usando el cebo de obtener promociones exclusivas o descuentos en determinados productos, el ciberatacante pude sugerir al usuario que escanee un código QR con el que lo que se consigue en realidad es robar las credenciales de inicio de sesión de la víctima, que cree que se está suscribiendo a alguna promoción.
   Solución: No escanear ningún código QR que nos prometa promociones y/o descuentos.
8. Almacenamiento de la información en la base de datos: Conversaciones, mensajes, etc… todos los datos de WhatsApp se almacenan en el teléfono y, aunque el fichero se encuentra cifrado, existen aplicaciones que permiten el descifrado de dicha información.
   Solución: Estar atento a las aplicaciones de terceros que nos instalamos, así como a las personas que tienen acceso físico a nuestro terminal.
9. Intercambio de datos personales entre WhatsApp y Facebook: Número de teléfono, contactos, hora de última conexión y hábitos de uso de WhatsApp serán compartidos con Facebook.
   Solución: Parece que, de momento, ninguna, aunque la polémica al respecto está servida.
10. Otros fallos de seguridad: Algunos han sido solventados con el cifrado de extremo a extremo. Pero han aparecido otras vulnerabilidades, como la expansión de “gusanos” (malware). Conocido fue el caso de “Priyanka” que, con solo guardar un contacto en la agenda del teléfono, se expandía entre los terminales Android.

Asimismo, el CCN-CERT recomienda adoptar una serie de precauciones “para que la información de nuestros teléfonos queda a salvo de posibles criminales o programas dañinos”: mantener el teléfono bloqueado, tener cuidado con acceso de aplicaciones que se ejecuten en el terminal, conocer los riesgos de realizar jailbreaking o rooting y desactivar la conectividad Wi-Fi y Bluetooth cuando no se vaya a usar.