¿Qué tan seguro es WhatsApp?

Según especialistas de Awareness & Research ESET los mensajes enviados por la aplicación pueden ser leídos por terceras personas.

Aunque es una vulnerabilidad de diseño de la cual se tiene constancia y conocimiento desde hace al menos un año, WhatsApp Messenger continúa transmitiendo en texto plano todos los mensajes que son enviados.

Con la reciente aparición de WhatsApp Sniffer para Android, herramienta que permite obtener todos los mensajes enviados por los usuarios de WhatsApp que se encuentren conectados a un mismo Wi-Fi, se ha vuelto indispensable que el usuario comprenda ciertos conceptos, conozca algunos casos similares, y sepa minimizar los riesgos asociados al uso de redes públicas para acceder a programas o servicios que utilizan información sensible, y que finalmente no la transmiten de forma cifrada hacia su destino.

El cifrado es un método de protección que consiste en proteger información para que no sea legible, o al menos resulte más difícil de hacerlo, por parte de personas no autorizadas. De este modo, si un atacante intenta acceder a esos datos y no posee la clave de acceso, le será imposible visualizar esa información.

Este caso no es el primero en donde el objetivo es leer información mediante la técnica de sniffing o análisis de tráfico de red. En 2010 se dio a conocer Firesheep, una extensión para el navegador Mozilla Firefox que permitía obtener los usuarios y contraseñas de personas conectadas a una misma conexión Wi-Fi y que intentaran iniciar sesión en servicios como Facebook, Twitter y Google. Afortunadamente, esas empresas implementaron un método de cifrado para manejar de forma segura las credenciales de acceso de los usuarios.

Luego, fue el turno de FaceNiff, aplicación para Android que cumplía una función similar pero que además afectaba a Amazon y Youtube. Hay que destacar que en los tres casos, el único requisito para que algún individuo malintencionado pueda obtener la información sin cifrar es, o instalar una aplicación diseñadas para smartphones cuyo sistema operativo Android esté desbloqueado, es decir, que se haya sometido a un proceso denominado rooting; o se instale una extensión para un navegador como Firefox.

Una vez que se dispone de esas herramientas, lo único que necesita el atacante es conectarse a una red Wi-Fi en donde existan otros usuarios transmitiendo o iniciando sesión en los mencionados servicios. El problema se agrava aún más si a la simplicidad en el uso de estas herramientas consideramos que en este caso, una red inalámbrica protegida por contraseña y cifrada mediante algún protocolo de seguridad como WEP, WPA o WPA2 no ayuda a aminorar el problema.

Si bien una red inalámbrica que implemente un mecanismo de protección es considerablemente más segura que un W-Fi desprotegido, si el atacante logra vulnerar ese método de autenticación, o si por ejemplo va a un restaurante y obtiene acceso a dicha clave, podrá realizar sin problemas un análisis de tráfico que le permita sustraer toda la información sensible sin cifrar de las víctimas.

Algo parecido ocurre con algunas aplicaciones para plataformas móviles como iOS o Android en donde determinados programas almacenan información sensible en texto plano. En este caso específico dichos datos no son transmitidos por Internet, pero sí facilita que alguien diseñe un código malicioso que cumpla dicho objetivo.

Pese a que la solución para estos casos es que los desarrolladores cuenten con algún mecanismo de cifrado, es necesario que los usuarios eviten el uso de esta aplicación en cualquier red Wi-Fi pública mientras WhatsApp no implemente un sistema de cifrado para la información transmitida.

Sin etiquetas

2 thoughts on “¿Qué tan seguro es WhatsApp?

  1. Juan Carlos dice:

    El título del artículo es muy llamativo y comienza muy bien, despierta atención al leerlo. Lástima que solo dos párrafos sean dedicados al tema y la nota se convierta en otra, dedicada a las redes inalámbricas.

  2. Luis Pineda dice:

    Esto fue solventado por WhatsApp hace una semana justamente cuando se aplico la ultima actualización 2.7.7532 en donde colocaron encriptación de datos a los mensajes salientes y entrantes, el problema residía en que los mensajes se enviaban en texto plano y estos Sniffin lo capturaban casi a la perfección, otro problema fue con las imágenes o archivos multimedios en donde si lograbas capturar el enlace donde estaba ubicado el archivo (Sniffin) al ingresar a este podías verlo sin ningún inconveniente, pero como repito aunque se tardaron un poco en atender este importante asunto ya quedo resuelto con esta ultima actualización para Android, desconozco si las otras plataformas fue solventado, pero mi recomendación es que mantengan actualizado su aplicación, saludes!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *