Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.
Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.
*******
Negocios Seguros
La semana pasada tuvimos un intenso debate por el grupo privado de Telegram hablando de la noticia que buena parte de los medios sacaron a partir de las declaraciones del periodista Jordan Wildon en su cuenta de Twitter (ES).
Básicamente este periodista se dio cuenta de que buscando en Google:
<code>inurl:chat.whatsapp.com site:whatsapp.com</code>
Aparecían alrededor de 470.000 resultados a grupos (privados) de WhatsApp. El contenido del grupo no era visible, pero sí se podían ver sus participantes, de donde se puede por tanto sacar los números de teléfono.
El «terrible exploit» ya era conocido desde al menos noviembre del año pasado por los ingenieros de Facebook, que de hecho en su día se negaron a pagar el bug bounty (EN) por su descubrimiento argumentando que realmente no es un error de seguridad.
Y parte de razón, ojo, tienen, ya que siendo estrictos no hay vulnerabilidad alguna. Aquí el problema radica en que como les comentaba a los mecenas por el grupo los usuarios de WhatsApp no son conscientes del impacto que tiene crear URLs de invitación para grupos privados.
¿CÓMO FUNCIONA ESTE SUPUESTO «HACK»?
Básicamente la premisa es que si a la hora de invitar a alguien a un grupo de WhatsApp en vez de hacerlo vía añadir miembro, lo haces mediante URL/enlace de invitación, puede ocurrir que en efecto esa URL se acabe indexando en Google, y por ende, sea de acceso público.
El cómo ha llegado esa URL (que, recordemos, es una herramienta pública) a los ojos de Google ya es un misterio.
- Si utilizas GBoard en Android, pues podría haberse indexado por ahí.
- Si lo has compartido en algún documento que previa o posteriormente se indexa, el crawler también podría indexar el grupo.
- …
La cuestión es que ya has creado esa URL, y por ende, por la propia ideosincrasia de un enlace, éste se puede acabar indexando en Google, en Bing o en donde sea.
¿CÓMO SE SOLUCIONARÍA?
Pues la respuesta más obvia es que Facebook en su archivo robots.txt informase a los buscadores de que deben desindexar todo lo que provenga del dominio chat.whatsapp.com.
Le metes un «disallow», o en el propio código fuente de los chats la metaquery «noindex», y a correr.
Cosa que al menos a la hora de escribir estas palabras NO han hecho (EN).
Otra de las opciones es que por supuesto Google haga lo propio por su parte bloqueándole a los crawlers el indexado de esas páginas. Y me da que de hecho es lo que ha ocurrido. Si buscas ahora mismo en Google por la búsqueda anteriormente señalada, verás que ya no muestra ningún resultado.
Pero claro, no lo muestra Google. Acabo de hacer exactamente lo mismo con DuckDuckGo (mi buscador por defecto) y me saca cientos de miles de potenciales resultados, aunque la mayoría afortunadamente provienen más de enlaces públicos a chats privados (empresas por ejemplo que ofrecen soporte vía WhatsApp), no de grupos.
Y recalco que es un problema que no solo afecta a WhatsApp.
Ahora mismo he hecho lo propio con telegram, y he obtenido 227.000 resultados a grupos de Telegram que podrían ser abiertos o cerrados (EN). Grupos, de hecho, como el nuestro, al que supuestamente solo se accede siendo mecenas de este proyecto, pero que en la práctica habría que ver si en efecto esa URL que os envío cuando os hacéis mecenas no estará ya indexada en Google, y con una búsqueda como la anterior alguien puede sacar.
Que sí, que en el caso de Whatsapp la cosa parece más grave ya que están exponiendo el número de teléfono de esas personas (en Telegram solo su nick y foto), pero la fuente del problema sigue siendo la misma.
Exactamente lo misma que en su día pasaba con documentos supuestamente privados de Dropbox, Google Photos o Google Drive que algún lumbrera en algún momento le dio a compartir vía URL.
Si algo realmente no debe ser público, directamente no debe existir vía la herramienta que utilizan los buscadores para indexarlo, que es una URL. Eso o que aún teniendo la URL sea necesario hacer logging para acceder al contenido.
Algo que en un servicio como Dropbox, o incluso en uno de mensajería como Telegram es fácil de implementar, pero que en uno como WhatsApp ya se me antoja más complicado. A fin de cuenta la versión web de WhatsApp es un apaño a medias que requiere del logging que previamente hayas hecho en la app del móvil.
Si estás en el dispositivo móvil el acceso a esa URL sí podría forzar a la app a identificar al usuario (un trámite realmente inmediato, ya que ya estás logueado). Pero al estar en otro dispositivo…
Y todo sin olvidar que ese enlace que se ha indexado en los buscadores es de invitación. Es decir, que la idea con ese enlace es que quien lo reciba pueda entrar al chat o acceder a ese documento.
En fin, que así están las cosas.
Si para compartir algo que quieres que sea privado lo haces con una URL, estás sí o sí corriendo un riesgo. Y además aprovecharte de ello no es cometer ningún delito, ya que esa URL es pública, y por ahora ningún gobierno nos ha impuesto que no podemos navegar por las URLs públicas que nos de la real gana.
Como mucho podríamos pedir que WhatsApp, o el servicio que fuese, alertase al resto de participantes de que alguien (el administrador o quien sea) ha creado un enlace de invitación que potencialmente podría comprometer nuestra privacidad.
Una alerta parecida a la que ahora (si lo tenemos activo) nos muestra cuando en el chat en el que estamos algún participante cambia su código de seguridad (normalmente por cambiar de teléfono móvil, pero también puede deberse a un MITM).
Pero más allá de eso poco más se me ocurre.
________
Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».
