Lo que tienes que hacer en WhatsApp para estar seguro, según el CNI

WhatsApp: todos los cambios introducidos en el servicio

WhatsApp es la aplicación de mensajería más utilizada en nuestro país sin lugar a dudas: es muy raro no encontrar a nadie que no utilice la herramienta para hablar con sus contactos, y no tiene vistas de cambiar en un futuro cercano. Incluso ha cambiado nuestra forma de hablar a través del móvil, haciendo caer a gigantes como los SMS.

La seguridad de WhatsApp siempre ha estado en entredicho por múltiples factores, casos a los que WhatsApp ha respondido con actualizaciones como la del cifrado de punto a punto, pero la última en arremeter contra WhatsApp es una agencia gubernamental.

cni-instalaciones

El Centro Nacional de Inteligencia (CNI) es el servicio de inteligencia de España, y el Centro Criptológico Nacional (CCN) es una agencia integrada en el CNI especializada en criptoanálisis. El CERT es la división del CCN de Capacidad de Respuesta a Incidentes y se encarga de la seguridad nacional en cuanto a tecnología se refiere.

Estos últimos, el denominado CCN-CERT, son los encargados de determinar cúal es el nivel de alerta en ciberseguridad en España, y también emiten alertas y guías relacionadas con la seguridad informática. Hoy nos toca comentar el último de estos informes sin clasificar, porque trata de algo que nos importa bastante: la seguridad de WhatsApp.

WhatsApp, una aplicación insegura para el CNI

El informe de 21 páginas, accesible a través de la web del CCN-CERT, trata de analizar todos los riesgos de seguridad con los que cuenta la aplicación de mensajería, acusando a los responsables de WhatsApp de descuidar desde el principio el apartado de la seguridad. Si juntamos esto con el auge en popularidad que tiene WhatsApp, con que pasan muchos datos nuestros por allí cada día, nos encontramos el caldo de cultivo perfecto para que un atacante se haga con nuestros datos.

El secuestro de cuentas de WhatsApp, a la orden del día

whatsapp-ss7-autenticado-1

Lo primero que destacan -en cuanto a falta de seguridad se refiere- es lo inseguro que resulta el proceso de alta y verificación de los usuarios. El proceso de registro es tan sencillo que es fácil para un atacante hacerse pasar por nosotros con el objetivo de secuestrar nuestra cuenta. Y el periodo de media hora entre registro y registro permite a un atacante recibir nuestros mensajes e incluso hacerse pasar por nosotros, todo sin que podamos hacer nada durante ese tiempo.

Aprovechando fallos de la red, en el protocolo SS7

El primer método para secuestrar cuentas es algo que poco tiene que ver con WhatsApp, y que también afecta a otras aplicaciones como Telegram: estamos hablando de los fallos en el protocolo SS7. Estos errores, una vez los explota un atacante, hacen creer a la red telefónica que el teléfono del atacante tiene el mismo número de teléfono que la víctima.

De esta forma, un atacante puede recibir el SMS de registro y conseguir acceso completo a la cuenta, echando a la víctima de su cuenta por un mínimo de media hora. No tendrá acceso a las conversaciones existentes, esas se quedan cifradas en el teléfono y no salen de allí, pero deja la puerta abierta a que el atacante reciba los mensajes posteriores o incluso se haga pasar por la víctima.

whatsapp-ss7-autenticado-2

No podemos evitarlo, pero sí podemos ser alertados cuando esto pueda estar ocurriendo: cada chat tiene un código de seguridad asociado al cifrado, y este código cambia cada vez que WhatsApp se instala en un nuevo teléfono. Si activamos las notificaciones de seguridad y vemos que un contacto está cambiando muchas veces de código a lo largo de varias horas, puede estar ocurriendo.

El borrado de conversaciones, otro fallo común

photo_2016-10-07_16-40-03

Según este mismo informe del CNI, otro de los fallos comunes entre las aplicaciones de mensajería viene a ser el borrado de mensajes. De cara al usuario es muy bonito todo, pulsar sobre borrar y desaparecen, pero en la práctica no es tan sencillo, porque los mensajes no desaparecen sin más.

Cuando borramos algo en un ordenador, no lo estamos borrando de verdad: el sistema lo marca como que no existe para escribir encima, pero sigue estando hasta que se escriba encima de estos datos. Con las conversaciones de WhatsApp pasa lo mismo: hasta que no se escriban otras conversaciones encima, seguirán estando aunque no las veamos.

La única solución para deshacernos por completo de ellas es borrar la aplicación entera, pero eso no es todo: alguna de las copias de seguridad en la nube también pueden contar con esos datos ocultos entre las conversaciones. También debes borrar las copias de seguridad en la nube para asegurarte del todo.

WhatsApp también envía datos sensibles al conectarse

datos-whatsapp-enviados-conexion

WhatsApp envía datos considerados como sensibles cuando nos conectamos a sus servidores: el sistema operativo del cliente, la versión de la aplicación o el número de teléfono registrado entre otros. El problema es que el cifrado de punto a punto no incluye el envío de estos datos a WhatsApp, vienen ofuscados pero no tienen la seguridad suficiente.

La única solución para evitar que un atacante rastree nuestros paquetes, y se haga con esta información, sería utilizar un VPN como puente entre nuestro dispositivo e Internet. La conexión cifrada al VPN evitaría que nadie pudiese leer esos datos, por muy desprotegidos que puedan estar, e interceptar la red no servirá de nada.

En cualquier caso, es curioso que el CNI recomiende el uso de un VPN asumiendo que esto también bloquea el espionaje por parte de entidades gubernamentales.

Otros consejos para estar seguro en WhatsApp

whatsapp-mac

  • Un atacante puede no usar métodos como los fallos en el SS7 para hacerse con el control de nuestra cuenta: podría robarnos el teléfono y usarlo para leer el SMS -o responder a la llamada- con el código. El bloqueo del dispositivo, el cifrado completo, desactivar la previsualización de mensajes SMS y bloquear llamadas de los números de verificación puede servirnos para evitarlo.
  • NO te descargues WhatsApp de un sitio que no sea la web oficial o Google Play/App Store: pueden ser versiones modificadas, creadas para robar cuentas de usuario bajo falsas promesas.
  • NO escanees códigos de WhatsApp Web que no sean de la web u aplicación oficial: un atacante podría pedirte escanear un código con la promesa de darte ventajas o promociones, cuando en realidad estaría accediendo a tu cuenta.
  • Las versiones antiguas de WhatsApp guardan la base de datos SQLite con cifrados obsoletos e inseguros: procura utilizar la última versión, la cual incluirá la última versión de cifrado.
  • Al CNI, aunque lo comente sin entrar en más detalles, también le preocupa el reciente intercambio de datos personales que se está produciendo entre WhatsApp y Facebook.

WhatsApp tiene que ponerse las pilas

WhatsApp estrena novedades en su versión estable: edición, menciones...

WhatsApp va por el buen camino, pero todavía quedan pasos por dar

Cualquier sistema va a tener fallos de seguridad antes o después, negarlo sería de necios: lo importante es que el responsable del dispositivo o servicio resuelva los problemas con rapidez, sin dar tiempo a un atacante a explotarlo. Y WhatsApp va por el buen camino gracias a pasos como cifrar todas nuestras conversaciones de punto a punto, algo que rivales como Telegram no hacen por defecto.

Sin embargo, todavía no es suficiente para la aplicación propiedad de Facebook: siguen quedando muchas asperezas que limar, este informe del CNI es un buen ejemplo de ello, y el historial de la compañía en materia de seguridad ha dejado mucho que desear hasta ahora. Por suerte esto ha cambiado, pero tienen que dar muchos pasos en la misma dirección para que podamos considerar a WhatsApp una aplicación a la altura.

La entrada Lo que tienes que hacer en WhatsApp para estar seguro, según el CNI aparece primero en El Androide Libre.