Agujeros de seguridad en apps: WhatsApp
27/02/2017

Agujeros de seguridad en apps: WhatsApp

Desarrollo de apps

La seguridad en nuestros sistemas es una parte que normalmente la sociedad pasa por alto, debido a que es algo que “no se ve”, pero está ahí, sin duda. Con un poco de perspicacia y habilidad, podemos llegar a interceptar conexiones o incluso descifrar mensajes, y con relativamente pocas herramientas. Por ejemplo, como muchas veces ha mencionado Chema Alonso, doctor seguridad informática, nosotros podemos abrir una estación de conexión a internet y, aprovechando a los dispositivos que quieran acceder a través de nosotros, espiar su actividad. ¿Cómo? Muy fácil: poniendo “free wifi” o “wifi gratis” en el nombre, y ya veréis que rápido entrarán las víctimas. Dejando esto de lado, vamos a ver qué problemas ha sufrido WhatsApp a lo largo de su existencia.

WhatsApp y su pobre seguridad

Desde sus inicios es innegable que WhatsApp ha sido todo un éxito y sigue reinando en las apps de mensajería instantánea, al menos en España. Ni Telegram, ni cuando los clientes se enteraron que dejaría de ser gratuito o la internacionalización de Line han podido detenerle. Pero esto también atrae a otra clase de actividades: el espionaje de conversaciones, y no es de extrañar que hayan servicios varios con los que, pagando una cuota, puedes contratar dicha observación, práctica que se ha popularizado cuando decides violar la privacidad de tu objetivo por la razón que sea. Por supuesto no hace falta que mencione que toda este tipo de actividades son completamente ilegales, pero eso no ha detenido a los proveedores de estos servicios. ¿Pero a qué es debido todo esto? WhatsApp no tenía encriptación end-to-end, o dicho de otro modo, un tipo de cifrado que sólo muestra los mensajes a los usuarios que están charlando, lo cual impide que se pueda leer el mensaje, pero no implica que no se pueda interceptar. De hecho los paquetes que vuelan por la red pueden ser interceptados, pero otra historia es descifrarlos. Esto añadió más seguridad y privacidad y un final feliz. La verdadera indignación llega cuando la app tardó años en implementar esta clase de cifrado y a nadie le pareció importar hasta entonces.

Unos años más tarde en pleno 2017, nos enteramos de que otro agujero de seguridad ha sido descubierto, con el cual la idea detrás del cifrado end-to-end pierde sentido. A todo esto hay que recordar que Facebook compró la aplicación y por lo tanto es la dueña del servicio, la cual asegura que nadie puede interceptar los mensajes emitidos por los usuarios, como comentaba en el párrafo anterior. Pero ahora nos encontramos con la situación siguiente:

WhatsApp genera nuevas claves de encriptación para mensajes que no han sido mandados aún, lo cual ocurre cuando no hay buena conexión o directamente se pierde. Esta generación es forzada, y el usuario emisor no es consciente de ello, se produce sin que se pueda controlar. Al ser encriptados de nuevo hay un momento en que los mensajes están abiertos y es en ese instante cuando son vulnerables y se pueden interceptar, pese a que los únicos que pueden tener poder a ello son la propia empresa Facebook, o alguna empresa externa que solicite dicho acceso. Si hacemos memoria esto puede llegar a suceder en casos especiales, como cuando el gobierno de los Estados Unidos quiso romper la privacidad de un usuario de iPhone porqué era sospechoso de actividades terroristas, aunque Apple se negó. Es decir, existen situaciones en las que una entidad pueda estar interesada en usar este agujero de seguridad en su beneficio.

La vulnerabilidad fue descubierta por Tobias Boelter, investigador de seguridad y criptógrafo de la universidad de California, en Berkley, y notificó a Facebook de tal problema en 2016. Desde entonces aún no se ha trabajado en ello, pese a que la empresa dice lo contrario.

En resumen, estamos ante una app que, pese a que nos hace la vida más fácil, ha pasado por varias fases en las que se ha saltado uno de los aspectos más básicos de cualquier servicio de chat: la protección de la privacidad de sus usuarios. Desde sus inicios en los que era muy fácil interceptar mensajes, hasta ahora, habiendo pasado mucho tiempo en adoptar medidas similares a Telegram para cifrar las comunicaciones para evitar ser espiados.

A nivel personal no soy usuario activo de WhatsApp, nunca me ha gustado su diseño y sus posibilidades son más limitadas que otras aplicaciones de chat, desde luego. Fue probar Line, Telegram, o más recientemente Google Allo y darme cuenta que sigue estando muy por detrás de sus competidores, y algo que no acabo de entender, incluso sabiendo que tiene problemas de seguridad, es su alta popularidad en España. Y es ahí cuando entra mi reflexión: somos una base de usuarios que se preocupa muy poco por su seguridad y privacidad, y esto debería cambiar. ¿A qué es debido? No lo tengo muy claro, pero lo que si se es que la próxima vez que os conectéis a una Wifi abierta, mejor que os lo penséis dos veces. Nunca sabemos quién puede estar al otro lado escuchando.

Curso relacionado: Curso Superior de Desarrollo de Aplicaciones para Móviles

Comparte en:

Grado Superior de Desarrollo de Aplicaciones informáticas en la Salle de Barcelona. Trabaja actualmente como desarrollador de aplicaciones para móviles, especialidad en videojuegos.

El auge de la tecnología beacon en las apps
25/03/2020
Jordi Mula

El auge de la tecnología beacon en las apps

El posicionamiento, la ubicación y la geolocalización son elementos cada vez más integrados en el desarrollo de aplicaciones. La geolocalización en exterior es un ...

¿Qué debe aportar el cliente para desarrollar una app?
27/02/2020
Jordi Mula

¿Qué debe aportar el cliente para desarrollar una app?

En muchas ocasiones el cliente por desconocimiento no sabe qué datos o elementos debe proporcionarnos para poder generar ese plan de asesoramiento inicial, vamos a ve...

Que es una game jam y que se puede esperar de una sesión
13/02/2020
Jordi Mula

Que es una game jam y que se puede esperar de una sesión

El mes pasado fue la Global Game Jam, y con motivo de este evento internacional que se da lugar en diferentes países y en diferentes sedes, vamos a hablar un poco sob...