El Centro Nacional de Inteligencia (CNI) advierte que WhatsApp, la aplicación de mensajería más popular en España, tiene graves vulnerabilidades en su seguridad que expone la privacidad de sus usuarios.
El CNI asegura que WhatsApp no tiene las medidas de seguridad básicas para garantizar que los datos de sus usuarios sean privados. Estos servicios secretos han decidido actuar, y lo han hecho elaborando un informe exhaustivo en el que advierten que esta aplicación tiene graves vulnerabilidades en su seguridad, y nuestras conversaciones privadas no son lo suficientemente seguras.
Dicho informe ya se repartió entre funcionarios del Estado y trabajadores de la administración para que estén informados de la situación de dicha aplicación.
“Riesgo de uso de WhatsApp” -el nombre del informe- asegura que la aplicación es muy atractiva para ciberatacantes, porque sus creadores y programadores siempre han descuidado algunos temas básicos para proteger correctamente la aplicación y los datos personales que se encuentran en ella. El CNI enumera una decena de vulnerabilidades graves de seguridad.
Según los expertos del CNI, la principal brecha de seguridad se encuentra en el proceso de alta y verificación de los usuarios. En este proceso, la debilidad en la seguridad ha propiciado que una tercera persona pueda robar la cuenta de un usuario, leer y enviar mensajes en su nombre.
El segundo error importante se conoce como “SS7”: aprovechando la vulnerabilidad de esa red, un atacante puede hacerse pasar por un usuario y conseguir el código de verificación de WhatsApp, secuestrando así una cuenta; todo ello sin demasiados problemas.
Otro error preocupante, según el CNI, se encuentra en el proceso de borrado de las conversaciones. Tan solo desinstalando la aplicación y borrando las copias de seguridad (que se realizan automáticamente) podremos estar seguros que nuestras conversaciones no serán accesibles en un futuro. Sin usar este procedimiento cualquiera con conocimientos básicos en informática podría hacerse con conversaciones privadas, ya que con un borrado normal de los mensajes éstos continúan en la memoria del dispositivo hasta que son sobre-escritos, y también se encuentran en las copias de seguridad.
Los expertos en ciberseguridad también advierten de lo fácil que resulta obtener información sensible de otros usuarios cuando se realiza la conexión inicial. Ni siquiera la aplicación del cifrado por parte de WhatsApp aporta una gran mejora de seguridad, porque algún experto podría entender datos privados con una aplicación para desencriptar.
Otra vulnerabilidad encontrada por parte del Centro Nacional es la posibilidad de robar cuentas mediante SMS: si alguien tiene acceso físico a un dispositivo de otra persona, con pocos minutos le bastaría para robarle su cuenta de WhatsApp. Ocurre algo muy similar en el caso de una llamada de verificación, debido a que si un atacante tiene acceso físico al dispositivo de la víctima y un poco de tiempo, le puede robar la cuenta, teniendo así pleno acceso a sus conversaciones privadas.
Otro fallo grave es lo vulnerable que resulta ser la base de datos donde se almacenan todas las conversaciones de WhatsApp. Los motivos son que el tipo de memoria usada, SQLite, y el cifrado de mensajes, .crypt12, son fácilmente vulnerables ante ciberdelincuentes ya que existen bastantes aplicaciones que descifran la información mediante un proceso simple.