El documento revela cuáles son las principales vulnerabilidades de la popular aplicación y cómo los piratas informáticos pueden utilizarlas para suplantar la identidad del usuario, robar información y conocer datos personales.
A continuación, te mostramos algunas de las fallas más destacadas de esta app, que destaca el portal de Actualidad RT.
-Frágil seguridad en el proceso de alta
Uno de los problemas más importantes es la seguridad en el proceso de inscripción y verificación de los usuarios. “Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”, apunta el estudio.
-Secuestro de cuentas
El CNI advierte que resulta posible aprovecharse de los fallos de red, conocidos como protocolo de telecomunicaciones SS7, a través de los cuales los piratas informáticos pueden grabar llamadas, leer mensajes y detectar la ubicación del dispositivo.
El ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima, explica el organismo.
De esta forma, el delincuente “consigue recibir un código de verificación de WhatsApp válido” y obtiene “acceso completo a la cuenta de la víctima, independientemente del cifrado de las comunicaciones”. Para evitar esta situación, las autoridades españolas recomiendan activar la opción de “Mostrar notificaciones de seguridad” en la sección de ajustes de la cuenta.
-Conversaciones borradas que no desaparecen
A pesar de que eliminar conversaciones en WhatAspp sea una tarea sencilla, no significa que se haya completado esa tarea, debido a que permanecen encriptadas y siempre están sujetas a que alguien que acceda a los registros de la aplicación y a las copias de seguridad.
“Los mensajes quedan marcados como libres”, de tal forma que se pueden sobrescribir con nuevas conversaciones o datos “cuando sea necesario”. Esto permite “mejorar el consumo de recursos en los dispositivos y mejorar el sistema de almacenamiento”, explican los autores del informe.
Para evitar este problema, se recomienda desinstalar la aplicación e instalarla de nuevo, aunque esa solución no afecta a las copias de seguridad guardadas en el teléfono o en dispositivos externos.
-Hurto de cuentas por SMS
Una persona puede acceder a una sesión de WhatsApp con facilidad, si pierde el celular, a través de su propio teléfono o un emulador que permita iniciar un registro con el dispositivo de la víctima, en donde recibirá un código de seguridad por SMS y así iniciará y registrará toda la sesión.
Para evitarlo, hay que “desactivar la previsualización del remitente y contenido en la pantalla de bloqueo del terminal”.
-Robo de cuentas mediante llamadas
El procedimiento es parecido al método de los SMS, solo que en este caso se emplearía el método de verificación de sesión mediante llamada telefónica. Como solución a este escenario, habría que “recopilar los diferentes números de teléfono utilizados por la aplicación para realizar llamadas de verificación y bloquearlos desde el terminal, para no poder realizar la activación utilizando este mecanismo”.
-El riesgo de la información almacenada en la base de datos
Guardar la información de cuenta de la aplicación en bases de datos locales, ya sea del teléfono o mediante el intercambio de datos personales con Facebook, suponen que “si un atacante logra hacerse con este fichero, podría acceder a todas las conversaciones y datos privados del usuario”.
Dependiendo de la versión de WhatsApp utilizada, “existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información”. Como solución a este trance, el CNI sugiere prestar mucha atención a “qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al terminal”.
A pesar de los esfuerzos por parte de ambas empresas por proteger la información de sus usuarios y de asegurar que no se comparten ni las fotos ni la información de perfil, algunos detalles como el número de teléfono, los contactos o la hora de la última conexión se graban en el fichero.
-Vulnerabilidad en redes wifi públicas
Al conectarse por primera vez a una red wifi pública, Whatsapp difunde información sobre los datos del usuario de la aplicación, que queda expuesta a cualquier ciberataque.
