¿Es WhatsApp una amenaza de seguridad para sus usuarios?

Publicación de CyberPro Colombia

Pese a ser una de las aplicaciones de comunicaciones más utilizadas a nivel mundial, WhatsApp ha dedicado sus esfuerzos a que sus usuarios acepten sus nuevas políticas de privacidad, las cuales entraron en vigor el pasado 15 de mayo. Cuando el verdadero problema se encuentra en su arquitectura obsoleta frente a las amenazas actuales. 

Imagen 1:
Actualización de WhatsApp.

Más de 2.000 millones de usuarios se enfrentan a una nueva amenaza dentro de la plataforma, donde un atacante puede bloquear el acceso utilizando solamente el número de teléfono sin requerir acción por parte del usuario. Según Jake Moore de ESET, «podría afectar a millones de usuarios que pueden ser el objetivo de este ataque. Con tantas personas que dependen de WhatsApp como su principal herramienta de comunicación con fines sociales y laborales, es alarmante la facilidad con la que esto puede ocurrir”. 

La arquitectura de la aplicación se ha quedado atrás frente de sus rivales, ya que le faltan características clave como el acceso a múltiples dispositivos y las copias de seguridad totalmente encriptadas. Su enfoque en imponer nuevos términos de servicio para habilitar los últimos esquemas de generación de dinero de Facebook, deberían estar encaminados a estos avances tan necesarios para disminuir el riesgo inminente al que se enfrentan sus usuarios sin siquiera saberlo. 

Imagen 2:
Proceso de verificación en el teléfono del atacante.

La excesiva confianza por parte los usuarios, combinado con los procesos de autenticación automatizados y poco rigurosos convierten a la aplicación en un blanco fácil para los ciberdelincuentes. En anteriores ocasiones se ha demostrado las constantes fallas de seguridad que posee la aplicación y pese a esto las acciones frente a la problemática han sido pocas, como bien lo explico recientemente el especialista en seguridad de ESET, Jake Moore, donde mostró cómo alguien puede tomar el control de su cuenta de WhatsApp con solo saber tu número de teléfono. Moore advirtió que esta nueva falla no debe tomarse a la ligera, especialmente porque podría afectar a millones y es relativamente fácil de lograr. 

Por otro lado, la firma Positive Technologies hizo público un blog mostrando cómo secuestrar cuentas, tanto de WhatsApp como de otras aplicaciones utilizando fallos conocidos en el protocolo de telecomunicaciones SS7. Así, existen otros ejemplos de las fallas de seguridad que presenta la plataforma. 

Es claro que la combinación de esta arquitectura de verificación, los límites de SMS / código y las acciones automatizadas basadas en palabras clave son una debilidad la cual no requiere sofisticación en el ataque, haciendo que justamente ese sea el problema real y WhatsApp debería abordarlo de inmediato. Ante esta problemática Jake Moore también dijo “No hay forma de optar por no ser descubierto en WhatsApp…Cualquiera puede escribir un número de teléfono para ver si existe una cuenta asociada. Idealmente, un cambio para mejorar la privacidad ayudaría a proteger a los usuarios de esto, además de obligar a las personas a implementar un PIN de verificación en dos pasos”.

Imagen 2:
Error de la cuenta en verificación en el teléfono del atacante y de la víctima después del ataque

WhatsApp no confirmó como planea solucionar esta vulnerabilidad, a pesar de que puede explotarse de forma fácil y anónima. Su respuesta fue minimizar el riesgo, pero este riesgo puede afectar a millones de personas más allá de ser una molestia. Entonces, dado el uso generalizado de WhatsApp, esta es una brecha de seguridad que necesita ser reparada.  

Pese a que el secuestro de una cuenta requiere un error de usuario. WhatsApp parece verse afectado más que otros por este problema, y realmente debería exigir una autenticación de dos factores (2FA) más rigurosa y menos automatizada o desarrollar una arquitectura de dispositivo confiable, similar a Google y Apple. En Javeriana CyberPro Center, puede capacitarse frente a este tipo de amenazas entendiendo que el ser humano es el eslabón más débil y nuestros cursos de Cyber-Awareness brindan las prácticas y metodologías básicas para no ser un blanco fácil. 

El 03 de junio lanzaremos junto a Educación Continua de la Pontificia Universidad Javeriana, el curso Concientización en Ciberseguridad y ataques contra el factor humano. ¡Puedes conocer más sobre nuestra oferta en cursos en nuestra página web!