Redacción
El Centro Nacional de Inteligencia (CNI) ha publicado un informe sobre los riesgos que tiene hoy en día el uso de WhatsApp. A través del Centro Criptológico Nacional, explican que la aplicación de mensajería ha descuidado algunos elementos básicos en cuanto a la protección de la aplicación y los datos personales que se gestionan en la misma.
1. El proceso de alta
Uno de las carencias más grandes, es la falta de «seguridad en el proceso de alta y verificación de los usuarios. Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre».
2. Secuestro de cuentas
Una firma tecnológica enseñó cómo se pueden robar cuentas usando fallos de un protocolo de comunicaciones. «Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma se consigue recibir un código de verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones».
Algo para lo que nos aconsejan ir a Ajustes > Cuenta > Seguridad, y habilitar las notificaciones de seguridad.
3. Borrado inseguro de conversaciones
Las copias de seguridad pueden jugar a nuestra contra cuando borramos conversaciones. «Hay que tener en cuenta las implicaciones cuando se tenga activa la opción de copia de seguridad (disponible a través de iCloud o Google Drive), ya que esta información también será respaldada de forma automática, almacenando una posible conversación ya borrada, y que podría ser recuperada en un futuro».
4. Difusión de información durante la conexión inicial
Explican que en este punto se interacambia información sensible como «el sistema operativo del cliente, la versión de la aplicación en uso o el número de teléfono registrado. Esta información puede quedar expuesta a cualquier atacante en el caso de utilizar redes Wi-Fi públicas o de dudosa procedencia».
5. Robo de cuentas
Un descuido o pérdida de teléfono puede permitir que alguien con acceso físico al teléfono secuestre nuestro WhatsApp. » «El primer método tiene que ver con el sistema de registro de la aplicación. Un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesión de la víctima».
Se puede evitar desactivando la previsualización del remitente y el contenido en la pantalla de bloqueo del terminal.
6. Robo de cuentas mediante llamada y acceso físico
«Si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante 5 minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación».
7. Cuidado con la descarga de WhatsApp
Las aplicaciones, descárgalas siempre de los market oficiales. Sea Google Play o App Store. «Existen innumerables estafas como la aplicación Whatsapp Plus, que prometía herramientas personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones».
8. Phishing usando la versión web de WhatsApp
«WhatsApp Web es una extensión de la cuenta del teléfono móvil que permite usar la popular aplicación de mensajería desde cualquier equipo de sobremesa o portátil (…).Para comenzar con su uso, tan solo hay que acceder a la dirección https://web.whatsapp.com y escanear el código QR».
En cuanto al fraude, «con la falsa promesa de promociones exclusivas de grandes empresas o de descuentos en productos del momento, un posible atacante puede sugerir a la víctima escanear un código QR con su aplicación para acceder a estas ventajas, cuando en realidad está robando las credenciales de inicio de sesión».
9. Ojo con las bases de datos
«La base de datos de conversaciones, ficheros, mensajes, así como otros datos que maneja la aplicación, se almacena de forma local dentro del teléfono, independientemente de que se tenga la opción de «backup» en la nube activada en nuestro dispositivo. Como se ha visto en apartados anteriores, WhatsApp utiliza SQLite para almacenar este tipo de información en la base de datos, por lo que si un atacante lograra hacerse con este fichero podría acceder a todas las conversaciones y datos privados del usuario».
«Por este motivo, y a pesar de que durante los primeros años de vida de la aplicación este fichero se encontraba sin cifrar, en la actualidad se encuentra protegido contra este tipo de casos».
10. El famoso intercambio de datos entre WhatsApp y Facebook
La gran polémica es la política de privacidad, por la que se intercambiarán datos entre Facebook y WhatsApp. En España ya se está investigando su legalidad.
Tomado de: Terra Noticias