Los agujeros de seguridad que WhatsApp aún debe resolver
- La app de mensajería ya envía los mensajes cifrados entre dispositivo y servidor
- Aún es posible acceder a los datos de WhatsApp a través de la tarjeta SD
- El Centro valenciano de Seguridad TIC cuenta con una guía para usar Whatsapp con seguridad
Hace casi un año y medio hablamos con expertos informáticos sobre las vulnerabilidades del servicio de mensajería WhatsApp, una de las aplicaciones más populares de los smartphones y que en junio anunció que había conseguido un nuevo récord, 27.000 millones de mensajes enviados y recibidos por usuarios de todo el mundo en un día.
En este tiempo, WhatsApp ha tapado algunos de esos agujeros de seguridad pero aún queda alguno por tapar, como ha revelado a RTVE.es el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRTCV), que publicó el pasado mes de junio una guía para conocer mejor la aplicación de WhatsApp y cómo usarla con seguridad.
Fallos de seguridad resueltos
En una actualización reciente, la compañía de Estados Unidos resolvió el problema de cifrado de las comunicaciones. Antes, la aplicación enviaba mensajes no se encriptaban, lo que podía significar que si por ejemplo, un usuario se conectaba a Internet a través de una red wifi pública, otro usuario podía 'escuchar sus mensajes' con una aplicación creada para ese fin.
Desde el CSIRTCV han señalado que ahora ya no se usa el IMEI o la MAC (códigos que identifican cada teléfono) como contraseñas para el cifrado, si no que "se usa el protocolo SSL para la comunicación entre el servidor de WhatsApp y el smartphone", es decir, un protocolo criptográfico para realizar conexiones seguras entre cliente y servidor.
Sobre las posibilidades de cambiar el mensaje de estado de otros usuarios de forma remota o de suplantar la identidad, desde el centro de seguridad valenciano afirman que estas vulnerabilidades han sido resueltas y que "no se conoce a día de hoy ningún fallo que permita la suplantación de la cuenta de otro usuario".
Agujeros de WhatsApp por resolver
Los datos de coordenadas enviados si se tiene activado el GPS y todos los mensajes enviados y recibidos con la aplicación de mensajería, aunque se borren, quedan almacenados en en una pequeña base de datos de la tarjeta Micro SD. La tarjeta, en principio, está cifrada, pero el código es conocido y algunos programas -en caso de conseguir la Micro SD de un teléfono- pueden revisar las conversaciones, después de descargarlas en un ordenador y analizarlas, ha explicado el coordinador técnico del CSIRTCV, Javier Morán.
Y es que la clave de cifrado de la información de WhatsApp almacenada en la memoria del teléfono es la misma para todos los dispositivos (a excepción de Blackberry). Mediante servicios como recovermessages, es posible recuperar los mensajes enviando la base de datos cifrada, rematan desde el CSIRTCV.
Por otra parte, la propia aplicación hace una copia de seguridad en la base de datos interna del dispositivo cada 24 horas, por lo que es posible recuperar conversaciones borradas. Además sería posible recuperar registros borrados de la base de datos mediante técnicas forenses. En el blog Un informático en el lado del mal alertan de otras técnicas por las que se podría 'espiar' WhatsApp, eso sí, complicadas para un usuario de a pie.
Consejos para usar WhatsApp con seguridad
Sin embargo, no toda la responsabilidad de la falta de seguridad recae sobre la propia aplicación. Desde el Centro de Seguridad TIC subrayan que es importante que los usuarios sean conscientes de que "todas las conversaciones y contenido que se envíe a través de WhatsApp, están siendo gestionadas por un tercero, por lo que se debe evitar enviar información confidencial" como claves, números de cuenta o información que pudiera dañar la imagen personal.
“Se debe evitar enviar información confidencial a través de WhatsApp“
WhatsApp manifiesta en su información de seguridad que no accede ni guarda información de los contactos que guarda el usuario en este servicio o en otros, ni datos de ubicación o el contenido de los mensajes que han sido entregados. Aún así, el CSIRTCV apunta que "son capaces de acceder a la información que se transmite entre usuarios".
Los términos de privacidad de WhatsApp que deberías conocer
Los términos de privacidad, como las condiciones de uso de una aplicación, servicio, o web que utilizamos, pueden parecer una aburrida amalgama de datos que no nos molestamos en leer: solo queremos clicar que estamos de acuerdo y empezar a usar la app. Sin embargo, no está de más conocer cómo funciona un servicio y cómo usará nuestros datos.
Datos del usuario que registra WhatsApp
En el caso de WhatsApp, sus términos de privacidad explican que la aplicación registra una gran cantidad de datos de usuarios, aunque afirma que ninguno será vendido jamás.
WhatsApp obtiene la siguiente información del usuario: número de teléfono, nombre e información de facturación (si se introduce) e información del dispositivo cuando se elige participar en varios usos del servicio WhatsApp, como registrarse como usuario o actualizar el estado -la frase que aparece junto al nombre-.
El servicio también registra y puede conservar información general como cada vez que se envía o recibe un mensaje, si se actualiza el estado o la hora, fecha y los números de teléfono móvil desde donde fueron enviados los mensajes o a los que se enviaron, "así como cualquier otra información que WhatsApp está legalmente obligado a recoger" y que no especifica cuál es.
Cómo usa WhatsApp la información del usuario
WhatsApp afirma en sus condiciones legales que no vende ni comparte información personal ni otro tipo de datos genéricos con terceras compañías para su uso comercial o de marketing sin consentimiento del usuario, aunque se reservan el derecho a usarla para sus propios propósitos administrativos como notificar un cambio en las condiciones del servicio.
Además apostillan que sí compartirán ese tipo de información "solamente cuando sea razonablemente necesario", como por ejemplo, para ayudar a las agencias gubernamentales; mejorar o hacer tareas de mantenimiento; para investigar y defenderse contra reclamaciones o alegaciones de terceros, etc.
La compañía de EE. UU. usa información que identifica a la persona o información genérica como el volumen de tráfico de datos; cookies, dirección IP, tipo de navegador -si se accede a la web de WhatsApp desde un dispositivo- para "mejorar la calidad y diseño de su servicio y su web, crear nuevas características, promociones, funcionalidades y servicios".
También apuntan, para los usuarios que no son estadounidenses, que el servicio y la web de WhatsApp opera bajo las leyes de California y que se transfiere, con consentimiento, información personal a Estados Unidos y concretamente a California.
Si el usuario no está de acuerdo con estos términos la compañía le invita a eliminar la cuenta y desinstalar la aplicación.
Cómo funciona el envío y recepción de mensajes
Los usuarios, cuando envían sus mensajes a un destinatario (que también debe utilizar WhatsApp), pasan por los servidores (ubicados en Estados Unidos), y una vez entregado permanece en ellos durante un "periodo de tiempo corto". Si la otra persona no está en línea, el mensaje se queda en el servidor de la compañía hasta que pueda ser entregado durante 30 días. Si acaba por no entregarse, según explican sus condiciones, se elimina de sus servidores.