Jul 23, 2014

Los riesgos de compartir información en WhatsApp

Las vulnerabilidades que presenta la popular aplicación de mensajería WhatsApp la han convertido en el objetivo principal para la distribución de malware y phishing. La falta de cifrado de los mensajes y la geolocalización son las principales debilidades.
WhatsApp es la aplicación de mensajería instantánea con más usuarios del mundo. Más de 500 millones de personas comparten de forma constante y permanente información audiovisual y escrita. Pero esta "inocente" herramienta presenta una serie de vulnerabilidades que la han convertido en el principal objetivo para los ciberdelincuentes en la distribución de malware y robo de datos personales.

"El principal fallo es que cualquier usuario puede suplantar a otro", apunta Dani Creus, analista de malware de Kaspersky Lab. Un usuario puede acceder fácilmente a la infraestructura de WhatsApp y disponer de toda la información que otra persona haya compartido.

Desde que Facebook compró esta aplicación por 19.000 millones de dólares en febrero de 2014, las dudas sobre la gestión de seguridad se incrementaron. El principal miedo era que esta unión provocara la pérdida de privacidad y que los datos que compartimos en WhatsApp como fotos, vídeos, audios, localización gps, etc. se compartieran también en Facebook.

Aun así, los fallos en su seguridad están presentes desde sus inicios. El más importante es la falta de cifrado de las informaciones que se comparten y que permite dar acceso a la agenda telefónica y a los mensajes de los usuarios. Otras aplicaciones como Telegram sí que usan el cifrado de los mensajes. Dani Creus explica que este proceso consiste en que "la información que envías permanece cifrada hasta que llega al receptor. Esto evita que si alguien intercepta el mensaje solo vea una serie de caracteres pero no el contenido".

Esto es algo que también debería aplicarse a la ubicación, otro de los fallos. El servicio de geolocalización de WhatsApp almacena las coordenadas geográficas y las mantiene desprotegidas. Cuando se comparte una ubicación los datos se descargan a través de un servidor externo, no seguro y sin cifrar.

Además, WhatsApp no cuenta con antivirus. "Un antivirus sería un aporte más para saber si un usuario envía algún código malicioso, pero en el modelo de negocio de WhatsApp cuentan con que sea el usuario el que ponga la seguridad en su dispositivo", señala el analista de Kaspersky Lab.

Puesto que no todo el mundo es consciente de los peligros a los que se expone, esta plataforma ha dado mayores facilidades a cualquiera que quiera realizar un ataque de phishing, por ejemplo haciendo creer al usuario que cuando realiza el pago de la licencia de WhatsApp está ante la página web de su banco. El objetivo es captar números de cuenta y contraseñas, aunque Dani Creus apunta que "es difícil robar la información bancaria a los usuarios".

Junto con estas vulnerabilidades, se presentan otras relacionadas con las condiciones de uso de la propia aplicación. La principal es que la compañía puede acceder de forma periódica a la lista de contactos con el fin de mantener un registro de los números de otros usuarios, pero sin el consentimiento de nadie.

Hasta hace unos meses, los denominados 'Status Submission' (foto de perfil, estado, última conexión o en línea) eran visibles para cualquier persona con el número de teléfono de otra. Esta política se hacía extensible a los grupos, por lo que si alguien te incluía en un grupo junto con otras personas, cualquiera de los componentes de ese grupo tenía acceso a todos tus datos.

Pero la visibilidad de los usuarios en la aplicación ha sufrido una mejora en cuanto a la privacidad. Ahora es el usuario el que decide qué ven sus contactos y el resto de personas que puedan tener su número. "Las aplicaciones móviles deberían ir en esta línea, que sean los propios usuarios los que establezcan qué quieren que se vea y quién quieren que lo vean".