¿Los chats de WhatsApp son seguros?

Las aplicaciones de mensajería instantánea han revolucionado la forma en la que nos comunicamos. La aparición de los smartphones y del concepto de app, junto con la popularización de los datos móviles han propulsado a aplicaciones como WhatsApp, Telegram o Viber, relegando a los SMS e incluso a las llamadas tradicionales a mejor vida. En el caso de WhatsApp, al principio su seguridad era nula: los mensajes viajaban de un teléfono a otro sin encriptar, por lo que era relativamente fácil espiar a un usuario, sobre todo si estaba conectado a la misma red WiFi que nosotros.

Por suerte hace poco más de un año se anunció el cifrado de extremo a extremo, el cual prometía blindar los chats de WhatsApp y garantizar nuestra privacidad al comunicarnos. Como nos cuentan en este post de Xataka, ahora resulta realmente complicado que alguien pueda interceptar nuestras conversaciones, debido a que cada mensaje se cifra con una clave única que solo conocen el emisor y el receptor, por lo que ni los propios ingenieros de WhatsApp podrían leer nuestros mensajes. Ahora bien, ¿estamos totalmente protegidos?

Naturalmente, la respuesta es NO. Recordad que la seguridad al cien por cien nunca existe, y menos en Internet. El cifrado de WhatsApp complica mucho las cosas, pero existen muchas vías para espiar a un usuario. ¿Cuáles son las más básicas?

1. Instalación de un software espía

La primera y más básica consiste en la instalación de un keylogger en el smartphone de la víctima. Para los que no lo sepan, un keylogger es un programa espía que trabaja de incógnito y se encarga de registrar y enviar al atacante todo aquello que se escribe en el teclado, sea físico (en un ordenador) o virtual (en un teléfono). Los keyloggers más avanzados también pueden recopilar otro tipo de información, e incluso realizar capturas de pantalla con determinada frecuencia y enviárselas a quien haya infectado nuestro teléfono.

Cuidado con lo que escribes en el teclado…

¿Te suena a ciencia ficción? Entonces siento decirte que estás muy equivocado: los keyloggers son muy populares, hasta el punto de que existen cientos de empresas que te los venden. Por muy ilegal que suene, una búsqueda en Google nos puede dejar con la boca abierta, si bien estas compañías relegan en el usuario toda la responsabilidad moral y legal de su uso.

2. Acceso a la base de datos del móvil

chats de WhatsApp
Chats de WhatsApp

Todos nuestros chats de WhatsApp se almacenan de forma local en una base de datos localizada en la memoria interna del teléfono. Si no tenemos la costumbre de borrar con cierta frecuencia las conversaciones con nuestros contactos, podríamos vernos en una situación muy comprometida si alguien consiguiese acceder a esta base de datos.

Lamentablemente existen miles de maneras para acceder a esta base de datos: desde programas espías hasta el simple hecho de tener acceso físico al smartphone durante unos minutos. En el caso de Android, en la tarjeta SD se almacena una copia encriptada de la base de datos, pero precisamente la clave de cifrado se encuentra en el propio teléfono. Asimismo, en un iPhone con jailbreak (otra razón más para no realizar este proceso) se puede conseguir acceso a esta base de datos conectando el terminal al ordenador. En el iPhone esta base de datos no se almacena con ningún tipo de encriptado, por lo que incluso accediendo a una copia de seguridad en iCloud o en el ordenador sería muy fácil obtener acceso a todos tus chats.

3. WhatsApp Web: la ventana indiscreta

Todos conocemos WhatsApp Web, un sistema con el que nos podemos conectar desde el ordenador al smartphone, para así poder enviar y recibir mensajes. Su funcionamiento es realmente simple: entramos en el navegador en web.whatsapp.com (o instalamos la app de escritorio) y hacemos una foto al código QR que aparecerá en pantalla desde los ajustes de WhatsApp del teléfono. Con esto quedará enlazada para siempre nuestra cuenta con el ordenador.

WhatsApp Web

¿Dónde está el problema? Si en un descuido alguien te desbloquea el móvil y vincula WhatsApp Web a su ordenador, tablet o incluso móvil (entrando desde el navegador del teléfono esto sería posible), tus conversaciones se verán totalmente expuestas sin que tú te enterases. El atacante podrá espiar, se encuentre donde se encuentre, tus chats de WhatsApp en tiempo real, e incluso hacerse pasar por ti y enviar mensajes en tu nombre. ¿Preocupante verdad?

Dispositivos autorizados en WhatsApp Web

En consecuencia, debemos de vigilar de vez en cuando la lista de dispositivos autorizados a usar WhatsApp Web. Desde los ajustes de la app podemos acceder a la lista de ordenadores que tienen acceso a nuestros chats de WhatsApp, incluyendo su sistema operativo y la ubicación desde la que se realizó el último acceso. Si vemos algo sospechoso, habrá que eliminarlo inmediatamente, pero puede que ya sea demasiado tarde.

Otras vulnerabilidades

Si ya te han impactado todas estas brechas para espiar los chats de WhatsApp de un usuario, lamento decirte que no son las únicas. Por ejemplo, se puede dar el caso de que una versión de iOS o de Android presente una vulnerabilidad que facilite el acceso a nuestras conversaciones, o que en un futuro se descubra cómo romper el sistema actual de cifrado.

Otra consideración a tener en cuenta es que los mensajes se envían cifrados, pero no otra información importante, como el receptor y el emisor. Con esto quiero decir que es posible saber con qué personas habla un usuario, con qué frecuencia, sus patrones de uso de la aplicación, etc.

Empezaba la entrada recordando que la seguridad al cien por cien ni existe ni existirá, y creo que no hay mejor forma de cerrar esta entrada que recordándolo. Hay que tener muchísimo cuidado con lo que compartimos a través de las redes sociales y apps de mensajería instantánea, porque nunca estará garantizada nuestra privacidad.

¡No te vayas sin dejar un comentario!