El presente artículo recoge información publicada desde diferentes fuentes confiables (páginas de seguridad de la información reconocidas), donde se abordan los principales riesgos de uso de este servicio que debido a su gran aceptación, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios.

Los principales riesgos identificados son los siguientes:

1. PROBLEMAS DE SEGURIDAD EN LA AUTENTICACIÓN

La carencia más importante de la plataforma hasta el momento, reside en el proceso de alta y verificación de los usuarios. Este proceso puede llegar a propiciar que un intruso se haga con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre.

• Captura de acceso durante la conexión inicial:

Otro riesgo al momento de la autenticación es durante el establecimiento de la primera conexión con los servidores de la aplicación WhatsApp intercambia en texto claro información sensible acerca del usuario, como:

• Sistema operativo del cliente.
• Versión de la aplicación en uso.
• Número de teléfono registrado.

Esta información puede quedar expuesta a cualquier atacante en el caso de utilizar redes Wi-Fi públicas o de dudosa procedencia.

• Robo de cuenta mediante SMS

Para el registro de la aplicación, un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal.

Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba (a pesar de tener los mecanismos de bloqueo de pantalla y código de seguridad), registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima.

• Robo de cuenta mediante llamada

De forma similar a la descrita anteriormente, es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica. El atacante sólo deberá tener físicamente el teléfono durante 5 minutos (o menos) para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación.

Además, cuando la víctima quiera recuperar el control de su cuenta, deberá esperar, al menos, 30 minutos como plazo de seguridad por la aplicación para obtener un código de verificación nuevo, por lo que durante este periodo de tiempo no existirá forma posible de evitar el secuestro y manipulación de la sesión por parte del atacante.

2. SECUESTRO DE CUENTAS APROVECHANDO FALLOS DE LA RED

El protocolo SS7 (Signalling System No. 7) es el estándar global para las telecomunicaciones, y define el protocolo y procedimientos mediante los cuales los elementos de una red de telefonía intercambian información sobre una red digital para efectuar el enrutamiento, establecimiento y control de llamadas y que forma parte, entre otros, del funcionamiento interno de servicios como los SMS.

Anteriormente, se ha demostrado que en el caso de que un atacante consiguiera acceso al sistema SS7, podría interceptar o grabar llamadas, leer SMS, o detectar la localización del dispositivo utilizando el mismo sistema que la red del teléfono.

Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima.

3. BORRADO INSEGURO DE CONVERSACIONES

El proceso de borrado de una conversación, mensaje o grupo es sencillo en el teléfono, pero no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario. Esto permite mejorar el consumo de recursos en los dispositivos y mejorar el sistema de almacenamiento, actuando de forma similar a la papelera de reciclaje de un ordenador convencional, pero no garantiza el borrado seguro de las conversaciones.

4. DIFUSIÓN DE INFORMACIÓN SENSIBLE

La empresa cuenta con mucha información sensible por lo que es un riesgo latente el robo o sustracción de información confidencial a través de un medio de comunicación como el aplicativo de WhatsApp, incluyendo la versión web. Esto tiene consecuencias muy graves, no sólo en lo económico o legal, con multas o sanciones por incumplimiento de legislación; sino en cuanto a imagen y pérdida de reputación, pérdida de clientes, etc.

5. ATAQUES DE PHISHING UTILIZANDO WHATSAPP WEB

WhatsApp Web es una extensión de la cuenta del teléfono móvil que permite usar la popular aplicación de mensajería desde cualquier equipo de sobremesa o portátil. Todos los mensajes enviados y recibidos estarán sincronizados entre los dispositivos, dando más libertad de uso a los usuarios. Algunas de las estrategias de phishing más utilizadas son:

• Cadena mensajes o cadenas de difusión que son de fácil propagación entre los usuarios, enviando enlaces que redirigen a sitios web acondicionados para ofrecer premios, descargar archivos, instalación de software, capturar información personal, etc.
• Un ciberatacante puede sugerir a los usuarios escanear un código QR con su aplicación para acceder a falsas promociones exclusivas de grandes empresas o de descuentos en productos reconocidos con la finalidad de robar las credenciales de inicio de sesión al aplicativo de WhatsApp.

6. DESCARGA DE WHATSAPP DE FUENTES NO OFICIALES

Existe muchas aplicaciones similares a WhatsApp que, con la finalidad de captar usuarios, normalmente, se utilizan las características más novedosas de la aplicación o la promesa de funciones poco fiables, como la posibilidad de espiar otras cuentas u obtener servicios no disponibles oficialmente. Algunos ejemplos son los siguientes:

• El caso de una aplicación denominada WhatsApp Trendy Blue, que prometía altas posibilidades de personalización y características no disponibles en la versión oficial. Se hacían con el número de teléfono del usuario y exigían el envío de una invitación a 10 amigos para suscribirles a un servicio SMS Premium, consiguiendo propagarse entre los contactos más cercanos obteniendo un beneficio económico.
• La aplicación WhatsApp Plus que prometía herramientas personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones, según las estadísticas fue instalada en los teléfonos de más de 35 millones de usuarios.

Fuentes:

• 6 riesgos de seguridad en Whatsapp y cómo protegerte (pichincha.com)
• Los peligros de WhatsApp Web más comunes – NIUS (niusdiario.es)
• CCN-CERT IA-21/16 Riesgos de uso de WhatsApp (cni.es)