Por Prof. Manuel José Montañez lanza M.Sc.
El Centro Cristológico Nacional (CCN), adscrito al Centro
Nacional de Inteligencia (CNI), elaboró un informe en el que alerta de los
riesgos de utilizar WhatsApp, como la debilidad del proceso de registro en la
aplicación, el borrado inseguro de conversaciones o la posibilidad de que se
produzcan robos de cuentas. El informe abordó los principales riesgos de uso de
esta plataforma que, debido a su gran aceptación, se sitúa en el punto de mira
de los ciber atacantes que intentan obtener datos e información de sus
usuarios.
1. Frágil proceso de alta y verificación
En concreto, señaló que la carencia más importante de la
plataforma hasta el momento reside en el proceso de alta y verificación de los
usuarios. A este respecto, el informe alertó de que este proceso puede llegar a
propiciar que un intruso pueda obtener la cuenta de otro usuario de WhatsApp,
leer sus mensajes e incluso enviar mensajes en su nombre.
2. Posible secuestro de cuentas
Asimismo, el organismo también indicó que existe el riesgo
de secuestro de cuentas aprovechando fallos de la red y califica de
"inseguro" el borrado de conversaciones, uno de los fallos más
comunes en las aplicaciones de mensajería.
Los expertos creen que los cibercriminales pueden utilizar
fallos de la red para grabar llamadas, leer SMS o detectar la localización del
dispositivo utilizando el mismo sistema que la red del teléfono, haciendo creer
a la red telefónica que el teléfono del atacante tiene el mismo número que la
víctima.
Ante ello, se aconseja acudir a Ajustes/Cuenta/Seguridad y
activar las notificaciones de seguridad.
3. Robo de cuentas por SMS
Algunos de los ataques con mayor índice de éxito no implican
el uso de vectores de ataque avanzados o tecnologías ó lo accesible para unos
pocos. Un posible descuido o pérdida del teléfono (a pesar de tener los
mecanismos de bloqueo de pantalla y código de seguridad) puede permitir que una
persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de
una forma sencilla.
El primer método tiene que ver con el sistema de registro de
la aplicación. Un atacante podría utilizar un teléfono propio o un emulador de
terminal y comenzar el proceso de registro con el número de la víctima, como si
se tratara de un cambio de terminal.
Si el atacante consigue acceso físico al teléfono y la pre
visualización de SMS se encuentra activada, podrá observar el código de
seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y
obteniendo acceso a la sesión de la víctima.
4. Robo de cuentas por llamadas
De forma similar a la descrita anteriormente, es posible
secuestrar una sesión de WhatsApp utilizando la opción de verificación por
llamada telefónica. Si el método para ocultar las notificaciones de SMS se
encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante
5 minutos para poder acceder a la verificación por llamada, descolgar y obtener
el código de verificación.
El problema de esta fórmula de ataque reside en la
dificultad para evitarlo, debido a que no existe una opción, tanto para Android
como para iPhone, que fuerce al usuario a desbloquear el terminal para poder
responder a una llamada, por lo que un atacante con acceso físico siempre podrá
responder y completar el ataque.
Además, cuando la víctima quiera recuperar el control de su
cuenta, deberá esperar, al menos, 30 minutos como plazo de seguridad por la
aplicación para obtener un código de verificación nuevo, por lo que durante
este periodo de tiempo no existirá forma posible de evitar el secuestro y
manipulación de la sesión por parte del atacante.
5. Difusión de información sensible en la conexión
El informe también alerta de que se difunde información sensible
durante la conexión inicial, que puede quedar expuesta a cualquier atacante en
el caso de usar redes WiFi públicas o de dudosa procedencia, así como de la
posibilidad de robar cuentas mediante SMS o llamada y acceso físico.
6. Secuestro de datos por la versión de escritorio
En esta línea, también advierte de los peligros de la
descarga de WhatsApp en sitios no oficiales, que puede ser empleado por los
ciber delincuentes para cometer fraudes, y del riesgo de sufrir ataques de
"phishing" -secuestro de datos- utilizando WhatsApp web.
7. Almacenamiento de información en base de datos
Otros de los riesgos que detecta el organismo dependiente
del CNI se derivan del almacenamiento de la información en la base de datos de
forma local en el teléfono y del intercambio de datos personales con Facebook.
Para evitar que un atacante pueda tener acceso a toda la
información privada que WhatsApp almacena en el teléfono hay que prestar
especial atención a qué aplicaciones de terceros se instalan, así como el acceso
físico de otra persona al terminar ya que, para cada versión de cifrado nueva
publicada, las herramientas se actualizan para poder tratarlas correctamente.
8. Borrado inseguro
Uno de los fallos más comunes en las aplicaciones de
mensajería es la forma insegura que utilizan para borrar las conversaciones
almacenadas en el teléfono. Este fallo, que ya se utilizaba en versiones
anteriores de la aplicación para obtener los registros de las conversaciones
utilizando técnicas forenses, vuelve a afectar a las versiones más recientes de
WhatsApp.
El proceso de borrado de una conversación, mensaje o grupo
es sencillo en el teléfono, pero no implica la eliminación directa de los
mensajes, sino que estos quedan marcados como libres, de tal forma que puedan
ser sobrescritos por nuevas conversaciones o datos cuando sea necesario. Esto
permite mejorar el consumo de recursos en los dispositivos y mejorar el sistema
de almacenamiento, actuando de forma similar a la papelera de reciclaje de un
ordenador convencional, pero no garantiza el borrado seguro de las
conversaciones.
monlan2001@yahoo.com
0 comentarios:
Publicar un comentario