A estas alturas hablar de WhatsApp no es contar nada nuevo. Todo el mundo lo conoce, incluso aquellos que dejan algo más de lado el mundo de la telefonía móvil y la tecnología. Sin embargo, también son muy conocidos a lo largo de la red sus fallos de seguridad.
Muchos de estos fallos ya han sido solventados, pero hay otros tantos aún por descubrir y explotar. Por este motivo, recomendamos a todos los usuarios de este servicio que mantengan actualizada su aplicación a la última versión publicada por el desarrollador siempre que les sea posible.
Tal vez la vulnerabilidad más conocida y más preocupante sea el hecho de que las conversaciones se comunican en texto plano, es decir, se envían de emisor a receptor sin cifrar, lo que posibilita que alguien pueda interceptarlas y revisarlas. Un usuario que se encuentre en la misma red wifi que un usuario de WhatsApp podría descubrir nuestras conversaciones utilizando las herramientas adecuadas.
Por la red circulan diversos sniffers y herramientas cuyo cometido consiste en interceptar conversaciones de este servicio. WhatsApp Sniffer y WhatsApp Xtract son dos ejemplos, que al poco de su publicación en la Play Store, Google decidió retirar estas aplicaciones.
Cuando instalamos esta aplicación por primera vez en nuestro dispositivo tenemos que seguir un breve proceso de registro en el que nos envían un SMS a nuestro terminal para validarlo y poder usar el servicio. Un error no menos grave consiste en la posibilidad de registrar cualquier número de teléfono en WhatsApp.
En versiones anteriores de WhatsApp (hay quien sigue usándolas porque se niega a actualizar o no se da cuenta de la existencia de actualizaciones), la aplicación almacenaba todos los datos de usuario, así como las conversaciones, en una base de datos sin cifrado dentro de la memoria del terminal. Acto seguido, se corrigió este problema, pero tan pronto como se solventó, se descubrió la forma de seguir obteniendo la información de la base de datos cifrada.
Si queréis aprender a realizar un análisis de la información que almacena WhatsApp en nuestro terminal, os recomiendo que echéis un vistazo a este artículo. En él describen la utilización de una aplicación que facilitará todo el proceso de extracción e interpretación de los logs que almacena WhatsApp.
Otro error, éste algo más anecdótico, consistió en averiguar el número exacto de usuarios de WhatsApp. El grupo de expertos en seguridad informática, Security by Default, descubrió el mecanismo para obtener esta información rastreando las peticiones HTTPS que realiza WhatsApp hacia sus servidores.
Estad atentos al blog, ya que próximamente publicaremos un artículo analizando en detalle propuestas de alternativas a esta conocida pero insegura aplicación de mensajería instantánea entre dispositivos móviles.
Por último, agradecer a Security by Default sus artículos sobre seguridad en el WhatsApp. Este artículo está basado en sus descubrimientos y contribuciones.
Esas las primeras, lo que pasa es que la mitad de las que tiene siguen siendo explotables por lo que mejor correr un tupido velo 🙂