Post publicado en Enero del 2013: Desde entonces la seguridad de WhatsApp ha mejorado considerablemente, ojo.
No es la primera vez que hablamos de la poca seguridad que ofrece WhatsApp, ya sea por permitir que te agreguen sin tú consentimiento (de hecho no te entararás nunca a no ser que esa persona te escriba, ofreciendo el servicio perfecto de spam, cambiando de número de teléfono para envío de mensajes masivos) o por no cifrar nuestros chats.
Lo cierto es que a poco que te intereses un poco en seguridad, es el ejemplo de aplicación que no cumple casi ningún requisito básico, de ahí que ya en su momento os recomendara herramientas como Line y sobre todo Spotbros, que tienen más en cuenta este factor tan importante en nuestros días.
Los fallos en este servicio son muchos (arquitectura de servidores que se caen cada cierto tiempo, no estudio de casos extremos, guardado de conversaciones en el terminal sin cifrar, descargas automáticas de imágenes que pueden contener malware o contenido inapropiado,…), y vienen heredados desde el principio del proyecto, en la lógica y planificación previa de un servicio como éste, por lo que es comprensible que hoy en día sigan casi igual que cuando aparecieron los primeros exploits (si me pidieran asesoramiento, lamentaría informarles que el método más rápido para solucionarlos es reescribir todo el código de 0).
Entiendo que como startup, dediquen casi el total de inversión en reclutar nuevos clientes y abrirse a nuevos mercados, más que en un punto el cual para ojos de posibles inversores es tan poco significativo como la seguridad (no así para sus usuarios).
Por ello me ha parecido muy interesante la entrada de Alejandro Amo en SBD sobre whatsappvoyeur, una herramienta web creada por éste y @berni69 que permite acceder al perfil de usuario de cualquier cuenta de WhatsApp, obteniendo:
- Foto de perfil (a tamaño real).
- Frase de estado o «statu quote».
- Último momento en que el usuario cambió la «statu quote».
- Último momento en que el usuario apareció conectado en la red.
Indagando un poco en el proceso de obtención de datos (y teniendo en cuenta que el pasado día 9 WhatsApp restringió el acceso a datos de perfil por usuarios no logueados), la aparente solución definitiva, que partía de ofuscar el acceso a datos bajo la capa de sesión (ni más ni menos), se ha levantado de la forma tan sencilla como crear unos credenciales válidos en la propia web del servicio (es decir, antes cualquiera podía acceder vía web a los datos de cualquier cuenta mediante un archivo iq.php, y ahora pueden hacer lo mismo, siempre y cuando hagan el paso previo de crear unos credenciales válidos para acceder a los servidores de la web).
Por tanto, entra en juego varios factores:
- La facilidad para acceder a los datos de cualquier usuario mediante la creación de unos credenciales válidos (un número de teléfono cualquiera y una dirección arbitraria basta).
- La facilidad para acceder a los datos de cualquier usuario por el protocolo que WhatsApp sigue usando en política de privacidad: «quien no está explícitamente bloqueado está implícitamente permitido«.
- La facilidad para acceder a los datos de cualquier usuario por la sincronización directa de la agenda de contactos, y la imposibilidad de un usuario de bloquear a otro hasta que al menos se haya producido un primer contacto (cuando el mal ya está hecho).
Algo que deberían mirar, y que seguramente no lo hagan. Mientras, seguiremos recibiendo aumentos del tiempo de uso de la aplicación, retardando para siempre ese hipotético momento en el que la aplicación será de pago.
Hola Pablo!,
Gracias por confirmar mis sospechas respecto de esta aplicacion. no tengo una cuenta pero debido a la presion social que todo mundo solo usa esta aplicacion de chat me presionana a lanzarme en este oyo negro del whatsapp.
lo que deseo evitar a toda costa.
Soy usuario de la aplicacion china WeChat y realmente me agrada mucho, ya que es bastante restrictiva con el asunto de la libreta de restricciones e incluso en la forma en como te pueden agregar a su lista de contactos del WeChat, se incluye codigo QR osea te agregan solo si escanean tu QR que esta en tu dispositivo, no es necesario que accedan a tu número telefónico para poder chatear. tambien puedes ser agregado a la lista de alguien solo por invitacion y tiene la posibilidad que no te encuentren por solo conocer tu numero de telefono. ademas no anda diciendole al mundo si esta o no conectado, o si has leido un mensaje.
sin embargo me gustaría que nos des tu opinion experta sobre, precisamente a esta aplicacion que tanto alabo WeChat, respectro a su seguridad.
Gracias miles
Mayerly
Ojo Mayerly. Este artículo tiene ya unos cuantos años. hoy en día WhatsApp ha mejorado bastante, por lo menos en cuanto respecta a privacidad y seguridad. De hecho todo el contenido que enviamos por allí va cifrado de punto a punto.
Eso sí, sigue dependiendo del número de teléfono (cosa que, como bien señalas, WeChat y algunas otras aplicaciones como Telegram permiten ofuscarlo). Ahora bien, WeChat es una buena alternativa… siempre y cuando no te importe compartir información con el gobierno chino.
Porque se ha demostrado que WeChat, como el resto de productos desarrollados por el gigante del Sol Naciente, es sujeto de espionaje por parte de China. También es verdad que al tener tú un número de teléfono no chino el acceso que hacen (si es que en algún momento les interesaría hacerlo) es mucho más reducido, pero haberlo haylo.
Así que es más bien cosa de ver con qué aplicación te encuentras más cómodo y contra qué quieres defenderte. Si contra posibles tergiversaciones de uso por parte de otros usuarios (en este caso WeChat creo que da mayores garantías), o contra espionaje gubernamental (ahí, mal que me pese, tengo que darle el apoyo a WhatsApp, ya que incluso Facebook, dueña del servicio, solo puede traficar con los metadatos de comunicación de nuestras conversaciones, no con la información en sí).
Espero que te haya ayudado un poco con la respuesta.
¡Saludos!
Hola Pablo.
He leído tu post y el comentario y, claro, ya me parecía a mí que el artículo debía tener tiempo porque, como bien dices, la seguridad de WhatsApp ha mejorado… algo… Pero como tu artículo no viene fechado pues…
Además, al abrir el enlace que incluyes en tu artículo a http://www.whatsappvoyeur.com/ mi fantástico antivirus Avast (casi me da otro infarto) me ha avisado de que esa web contiene malware. En fin… una pena.
Enhorabuena por tu artículo, aunque algo anticuado ya.
Bartolo.
Sí, se ha quedado desfasado. Voy a actualizarlo para informar de ello en el artículo también.
Gracias por avisar. Por cierto, por saber, ¿desde dónde has llegado a él? Supongo que desde Google, pero vaya…