Más de 500 millones de usuarios hacen de WhatsApp una de las aplicaciones de mensajería instantánea más populares del mundo; y es justamente ese éxito el que la pone en la mira de los, -cada vez más sofisticados- ciberdelincuentes. Aunque de apariencia inocente, el uso de esta herramienta también puede implicar riesgos para nuestra seguridad.
Según un estudio de la firma de seguridad informática InnoTec System, "las numerosas vulnerabilidades encontradas" en esta aplicación, la sitúan como un blanco perfecto para "la distribución de malware (software malintencionado) y el robo de datos personales".
A continuación las observaciones de InnoTec System sobre WhatsApp:
FALLOS DE SEGURIDAD
Según los expertos, desde sus inicios la aplicación tenía múltiples fallos de seguridad. El principal de ellos es "la falta de cifrado de sus comunicaciones" que permite dar acceso no autorizado a las agendas telefónicas y mensajes de los usuarios.
Indican, que aunque se hicieron algunas correcciones al sistema, el cifrado de los mensajes sigue siendo "fácil de romper" y que esta situación se agravó tras la compra multimillonaria de la empresa concretada por Facebook.
VULNERABILIDADES EN LA UBICACIÓN
InnoTec System, asegura que las coordenadas de ubicación geográfica almacenadas por WhatsApp se mantienen desprotegidas. De este modo, cuando alguien comparte una ubicación, sus datos se descargan a través de un canal no seguro; es decir, sin utilizar SSL -protocolo diseñado para permitir la transmisión de información de manera segura- y sin cifrar.
Como consecuencia de esto, cualquier usuario de forma anónima sin necesidad de credenciales puede «utilizar la infraestructura de WhatsApp para subir todo tipo de archivos o ficheros de cualquier tamaño a sus servidores (incluido los ejecutables)».
PROPAGACIÓN DE «MALWARE»
Los expertos indican que debido a que la aplicación no cuenta con ningún tipo de antivirus y que los contenidos se borran automáticamente en un período de 30 días, es mucho más fácil distribuir todo tipo de malware o realizar ataques de phishing (suplantación de identidad a través del robo de contraseñas). Esto sin ningún "riesgo" para el atacante, que puede mantener el anonimato sin problemas.
FALLAS EN PROCESO DE REGISTRO
El proceso de alta y verificación de los usuarios es calificado por InnoTec System como una "grave carencia".
Explican que "el código de activación de usuario se genera en el propio entorno de la aplicación, incluso antes de ser enviado a los servidores internos para que estos manden el mensaje SMS, con el código, al usuario".
Detallan que la posibilidad de cambiar el remitente a la hora de enviar mensajes o el acceso a las conversaciones de un usuario a través de otras aplicaciones que tienen acceso a la tarjeta MicroSD -donde se almacenan las copias de seguridad de WhatsApp- son otros de los fallos observados en los últimos meses.
