Según un estudio reciente realizado por equipos de investigadores de dos universidades alemanas, esta es la protección más eficaz contra posibles ataques de piratas informáticos que abusan de los métodos utilizados por las aplicaciones para la sincronización de contactos con la agenda del usuario.
En los experimentos de rastreo realizados en los populares servicios de mensajería Signal y WhatsApp, que utilizan la sincronización de contactos y suben regularmente los números de teléfono almacenados en la agenda a los servidores del proveedor de servicios, los investigadores constataron que el método utilizado permite a los piratas informáticos recopilar datos confidenciales a gran escala y sin restricciones significativas, consultando o rastreando (“crawling”) números de teléfono aleatorios en la interfaz de descubrimiento de contactos de los servicios.
Qué información puede ser revelada durante la sincronización de los contactos y recopilada mediante ataques de rastreo depende del servicio de mensajería instantánea y de la configuración de privacidad que se elija. Los datos y metadatos personales a los que se pudo acceder en el experimento incluyen imágenes de perfil, nombres de usuario, textos de estado o el tiempo pasado en línea.
Antes de la publicación, los investigadores comunicaron los resultados de su estudio a los respectivos servicios. Los equipos de investigación informaron que, en base a estos, WhatsApp aseguró haber mejorado las medidas de protección para poder detectar ataques a gran escala, mientras que Signal sostiene haber reducido el número de consultas posibles para así dificultar el “crawling”.
Para el estudio fue consultado el 10 por ciento de todos los números de teléfono móvil de Estados Unidos para WhatsApp y el 100 por ciento para Signal. Los datos analizados también revelaron cifras interesantes sobre el comportamiento de los usuarios: alrededor del 50 por ciento de todos los usuarios estadounidenses de WhatsApp tienen una foto de perfil pública, y en el 90 por ciento de los casos la información que aparece en sus perfiles es accesible para todos sus contactos.
Además, el 40 por ciento de todos los usuarios registrados en Signal también utilizan WhatsApp. Esta cifra sorprendió a los investigadores, ya que se supone que los usuarios de la ultrasegura Signal cuidan al máximo su privacidad. A diferencia de WhatsApp, Signal no evalúa los metadatos sobre el uso del servicio.
Datos por rastreo
Los investigadores advierten que, si los datos obtenidos mediante el rastreo son seguidos por los atacantes durante un período de tiempo prolongado, se pueden crear a partir de ellos modelos de comportamiento precisos, y añaden que, si estos datos se comparan con los datos de las redes sociales y otras fuentes de datos públicas, podrían crearse perfiles detallados y utilizarlos, por ejemplo, para acciones fraudulentas.
Durante su rastreo en el servicio de mensajería Telegram, los investigadores descubrieron en su interfaz de programación (API) que el servicio de rastreo de contactos también revela información confidencial sobre los propietarios de números de teléfono que no están registrados en el servicio.
La sincronización de contactos entre la libreta de direcciones de los teléfonos inteligentes y los servidores del servicio de mensajería ha sido siempre objeto de crítica por parte de los investigadores de seguridad y las autoridades de protección de datos.
Sin embargo, los servicios de mensajería temen que, al anular esta función, pierdan usuarios que no estén dispuestos a prescindir de la comodidad que esta ofrece. El tener que añadir los contactos deseados uno por uno sería más seguro desde el punto de vista de la protección de datos, pero sin duda también más fastidioso.
