Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/12/2012
És segur usar WhatsApp?
L’aplicació de missatgeria instantània és tan famosa per la seua utilitat com pels seus problemes de seguretat.
Bruce Schneier, el més gran expert en seguretat informàtica i prolífic escriptor d’un blog, assegura que vivim en un món amb una sensació de seguretat que no sempre és real. Ens sentim protegits davant de catàstrofes naturals, però ignorem riscos quotidians com el de les comunicacions per mòbil: cap sistema és 100% segur i fins els que compten amb més èxit o rellevància sempre són objecte d’un nombre més gran d’accions malicioses per part dels ciberdelinqüents. Tal és el cas de la popular plataforma de missatgeria WhatsApp, de la qual s’han posat en evidència les seues múltiples vulnerabilitats. La seguretat d’esta aplicació és en especial sensible perquè la seua principal funció consistix a transportar els missatges privats dels usuaris d’un mòbil a un altre. Este article vol fer llum sobre els dubtes que WhatsApp puga suscitar respecte a la seua seguretat.
WhatsApp, una aplicació amb clarobscurs
En l’últim any, en països com Espanya, WhatsApp ha suposat una revolució en la comunicació de missatges a través del telèfon. Este servici de missatgeria instantània està disponible per a la majoria dels smartphones que en l’actualitat es venen en les botigues i aprendre a dominar-lo és senzill.
No obstant això, és una aplicació un tant sospitosa, perquè ha tingut alguns problemes de seguretat en el passat, motiu pel qual molts usuaris temen que les seues dades personals siguen revelades i les seues conversacions privades posades a l’abast de tercers. Sensació real o infundada?
WhatsApp està basat en el protocol de comunicacions XMPP, un estàndard de la indústria molt utilitzat per a la missatgeria instantània. En concret, esta aplicació empra una versió modificada per ells denominada FunXMPP. Entre altres empreses que utilitzen el protocol XMPP es troben Google -que ho implementa en el seu servici de missatgeria Gtalk-, Nokia per a la missatgeria integrada en OVI, així com les xarxes socials Facebook i Tuenti, en els seus servicis de missatgeria. És a dir, XMPP és un protocol estable que complix amb la seua comesa.
El blog SecurityByDefault, realitzat per experts en seguretat informàtica, disposa d’informació sobre alguns dels problemes de seguretat de WhatsApp i posa a disposició una explicació tècnica de com funcionen estes vulnerabilitats. En essència, amb alguns coneixements tècnics és possible interceptar els missatges aliens dins d’una mateixa xarxa comunicativa de WhatsApp.
A més, els arxius de les conversacions del telèfon es guarden en bases de dades i, a pesar d’estar xifrades, es poden recuperar seguint alguns passos tècnics, la qual cosa vol dir que terceres persones amb coneixements avançats també poden accedir a estos.
Spam i aplicacions malicioses
Un altre dels problemes de WhatsApp és el correu brossa, o missatges no sol·licitats, rebuts via suposats xats de contactes. Açò és a causa del fet que la plataforma deixa que un usuari puga enviar un missatge a qualsevol altra persona només coneixent el seu número de telèfon, sense més certificació de relació. És a dir, es pot operar de la mateixa manera que amb els missatges curts SMS.
D’altra banda, gràcies a processos d'enginyeria inversa, s’ha pogut descobrir com funciona l’aplicació i crear diverses API-conjunt d’instruccions de programació- que permeten desenrotllar clients (programes) no oficials.
Estes API, que no tenen l’autorització oficial de l’empresa, s’utilitzen tant per a crear clients per a mòbils que no compten amb suport per a WhatsApp (el client oficial), com per a accions malicioses com l’enviament de spam. També es poden usar per a la suplantació d'identitat en els xats. Este és un delicte que pot ocasionar greus conseqüències a la persona enganyada, ja que dades i arxius íntims poden ser revelats i després exposats de forma pública.
No obstant això, gran part del temps, l’aplicació funciona de manera correcta i, quan es descobrixen errors, WhatsApp sol arreglar-los immediatament. Va haver-hi una època en què era possible registrar-se amb un número de telèfon fictici. Una vegada conegut el problema, WhatsApp va solucionar este error.
Els recomanem continuar llegint este article en el següen enllaç.