Para evitar que un atacante pueda tener acceso a toda la información privada que WhatsApp almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan
Foto: Agencias
Frágil proceso de alta y verificación
En concreto, señala que la carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios. A este respecto, el informe alerta de que este proceso puede llegar a propiciar que un intruso se haga con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre.
Posible secuestro de cuentas
El organismo también indica que existe el riesgo de secuestro de cuentas aprovechando fallos de la red y califica de «inseguro» el borrado de conversaciones, uno de los fallos más comunes en las aplicaciones de mensajería.
Robo de cuentas por SMS
Algunos de los ataques con mayor índice de éxito no implican el uso de vectores de ataque avanzados o tecnologías o lo accesible para unos pocos. Un posible descuido o pérdida del teléfono puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de una forma sencilla.
Robo de cuentas por llamadas
De forma similar a la descrita anteriormente, es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica. Si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante 5 minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación.
Difusión de información sensible en la conexión
El informe también alerta de que se difunde información sensible durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes WiFi públicas o de dudosa procedencia, así como de la posibilidad de robar cuentas mediante SMS o llamada y acceso físico.
Secuestro de datos por la versión de escritorio
En esta línea, también advierte de los peligros de la descarga de WhatsApp, en sitios no oficiales, puede ser empleado por los ciberdelincuentes para cometer fraudes, y del riesgo de sufrir ataques de «phishing» -secuestro de datos- utilizando WhatsApp web.
Almacenamiento de información en base de datos
Otros de los riesgos que detecta el organismo dependiente del CNI se derivan del almacenamiento de la información en la base de datos de forma local en el teléfono y del intercambio de datos personales con Facebook.
Para evitar que un atacante pueda tener acceso a toda la información privada que WhatsApp almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan.
Borrado inseguro
Uno de los fallos más comunes en las aplicaciones de mensajería es la forma insegura que utilizan para borrar las conversaciones almacenadas en el teléfono. Este fallo, que ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, vuelve a afectar a las versiones más recientes de WhatsApp.
Intercambio de información con Facebook
En el momento de la compra de WhatsApp por parte de Facebook, en febrero de 2014, los fundadores de la aplicación se apresuraron a asegurar que no existirían cambios dentro de la aplicación y que seguirían trabajando de forma independiente. A través de un post en el blog oficial indicaron que «el respeto a su privacidad está codificado en nuestro ADN, y hemos construido WhatsApp en torno al objetivo de conocer un poco acerca de usted como sea posible».
Comente