¿Estoy seguro usando WhatsApp?

0

WhatsApp es el servicio lider en mensajería instantánea para smartphones, con más de 300 millones de usuarios activos cada mes. A pesar de que la historia (en lo que a seguridad respecta) de WhatsApp ha sido más bien poco ejemplar, ya que sus creadores parecen no sentir reparos en dejar de lado la privacidad del usuario. Por ejemplo, en una prueba conjunta entre expertos holandeses y canadienses, encontró problemas de seguridad: la plataforma WhatsApp no solo envía a la red los números de teléfono de contactos que NO utilizan la herramienta (desde nuestra agenda), sino que además los almacena de forma permanente, aunque esto último parecen haberlo corregido.

Volviendo a Julio del 2013, nos encontramos un serio problema de vulnerabilidad del cifrado SSL de la aplicación. Los resultados incluían que, entre otras cosas, los detalles de carteras Paypal y Google podrían filtrarse a la red cuando se realizaran pagos por estos medios.

Otra cuestión importante es referente a nuestras conversaciones ¿Son seguras? Las asunciones incluídas en su sección FAQ oficial suenan bastante bien en la teoría:

FAQ de los creadores de WhatsApp

Nótese que, antes de Agosto de 2012, la aplicación ni siquiera cifraba los mensajes enviados. Todo era enviado en texto plano y podría ser rápidamente interceptado y leído. Si estábamos utilizando WhatsApp sobre Wifi, cualquiera podría filtrar las ondas de la red y leer palabra por palabra todo lo escrito. De hecho, herramientas como WhatsAppSniffer fueron diseñadas con este propósito, siendo sencillo para cualquier persona sin conocimientos conseguirlo.

Consecuentemente, y dado a los avisos que muchos medios emitimos referente a esta vulnerabilidad, se vieron obligados a implementar una solución de cifrado. Sin embargo, la implementación era realmente pobre, dejando el número de teléfono aun sin encriptar, utilizando nuestro IMEI (identifiador único del terminal) o la MAC (dirección física del adaptador de red) del dispositivo como base para sus claves criptográficas (es decir, las contraseñas). Esto es una mala idea, ya que las MAC e IMEIs pueden ser fácilmente descubiertos.

La app facilita algunos de los datos en texto plano, y otros que no debería

WhatsApp también acabo cerrando esta puerta. Pero es que aquí no acaban los problemas! Thijs Alkemade, un matmático holandés y estudiante de informática, encontró hace escasos meses que WhatsApp tiene importantes fallos que “Echan por tierra” la supuesta seguridad que ofrece el cifrado de los mensajes. Hasta la fecha, no hay parche o comunicado oficial que sugiera que ha sido solventado.

Alternativas a WhatsApp que NO recomendamos.

  • BBM: disponible en Android e iOS, es quizá la mejor herramienta de este tipo actualmente. Cuenta con amplia seguridad, aunque nos tiene preocupados, ya que recibe presiones del gobierno de India para revelar sus claves criptográficas, con el objetivo de espiar a la población. Además, algunos de los informes de Snowden sugieren que la NSA tiene garantizado cierto grado de acceso a esta aplicación.
  • iMessage: una aplicación sencilla y adecuada para intercambios de información ocasionales, pero puede ser espiada por las autoridades.
  • WeChat: Una de las últimas aplicaciones aparecidas en el mercado, tiene defectos graves en materia de seguridad y aconsejamos evitarla. El gobierno chino podría adquirir acceso a ella en cualquier momento.
  • LINE: también aparecida recientemente para sustituir a WhatsApp. Sus defectos en materia de seguridad son incluso mayores, pues ni tan siquiera emplea cifrado, limitándose a almacenar los datos en texto plano.

Alternativas que gozan de razonable seguridad.

  • Telegram: Cifrado entre cliente servidor y cliente-cliente para conversaciones privadas. Gratuito y en rápida expansión. 
  • Silent Circle: es posiblemente, la mejor aplicación de mensajería. Cuida al máximo nuestra seguridad y privacidad, aunque requiere un pago mensual.
  • Threema: Interesante alternativa a WhatsApp con encriptado peer to peer. No está muy extendido su uso.
  • Chat Secure: Encriptado peer to peer, aunque no está muy extendida a día de hoy.

No queremos, desde aquí, animar a nadie a cambiar de método o crear pánico. Pero sí deberíais, al menos tener en cuenta que para conversaciones realmente “privadas” existen alternativas mejores.

Por último, recordad que WhatsApp tampoco cuenta con un contrato (EULA) que detalle cómo serán tratados los datos de usuario, y esto es algo que no entendemos y a nosotros nos resta confianza en la aplicación.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR