Con más de 2000 millones de usuarios, WhatsApp se ha consolidado como el sistema de mensajería más utilizada en la actualidad. Últimamente, algunas actualizaciones de seguridad (concretamente, las encriptaciones) la han hecho más confiable para la opinión pública alrededor del mundo. Sin embargo, tiene su costado oscuro: es una aplicación que ha sido propensa a sufrir ataques de espías. Sepa que es posible espiar en WhatsApp y fisgonear las conversaciones privadas de más de 1.500 millones de personas.
Obviamente, no todos corremos el riesgo de sufrir ciberespionaje, pero para algunos la amenaza ya es una realidad: en mayo de 2019 el Financial Times adelantó una grave vulnerabilidad en la famosa aplicación de mensajería instantánea.
Espionaje en WhatsApp: vulnerabilidades de la app y estado de la cuestión
Esta vulnerabilidad (clasificada como CVE-2019-3568) era devastadoramente efectiva: bastaba una llamada de voz a través de WhatsApp para instalar un software espía (spyware) en el teléfono del destinatario.
Lo que lo hacía especialmente grave era que se trataba de una vulnerabilidad denominada “zero-click”, lo que significa que no era necesaria la interacción de la víctima para introducir el spyware. De hecho, una simple llamada telefónica de VoIP a través de WhatsApp generó un “desbordamiento de búfer” que fue posible gracias a la eficacia del arma del atacante.
Así que fue un ataque perfecto y difícil de contrarrestar. Por dos razones: primero, porque funcionaba en todos los sistemas operativos móviles (Android, iOS y Windows Phone). En segundo lugar, porque se dirigía a una aplicación que normalmente tiene acceso a todas las funciones del teléfono que podrían interesar a un ciberdelincuente (fotos, contactos, mensajes, etc.).
Actualización 2.19.51 y 2.19.44 de WhatsApp
El 13 de mayo de 2019, WhatsApp lanzó una actualización (para iOS era la 2.19.51, para Android la 2.19.44) que cerraba la vulnerabilidad aunque, con una “transparencia” cuestionable, el registro de cambios de la actualización se limitaba a decir que “Ahora puedes ver los stickers en su tamaño original manteniendo pulsada la notificación.”
Tanto el arma como el atacante implicados en este asunto son ahora bien conocidos: el creador del software espía llamado Pegasus es la ya famosa empresa israelí NSO Group, líder mundial en software espía para dispositivos móviles.
El programa espía Pegasus, por su elevado costo (cientos de miles de dólares), es utilizado por las agencias gubernamentales, la policía y los servicios de inteligencia y sólo para objetivos específicos e importantes.
Así que es muy poco probable que haya podido afectar a los smartphones de los usuarios normales (para los que los riesgos de interceptación a través de WhatsApp pueden ser de otro tipo, como explicamos más adelante).
La demanda a NSO Group
El asunto ha tenido un notable seguimiento: WhatsApp y Facebook demandaron a NSO Group.
En la demanda presentada en un tribunal de California, WhatsApp Inc. y Facebook Inc. acusan a NSO Group Technologies Limited de utilizar los servidores de WhatsApp para enviar un malware (Pegasus) que espió los teléfonos móviles de al menos 1.400 usuarios entre el 29 de abril de 2019 y el 10 de mayo de 2019.
Las víctimas -según los abogados de Facebook y WhatsApp- son periodistas, activistas de derechos humanos, figuras políticas, disidentes, diplomáticos y altos funcionarios de gobiernos extranjeros, que se encuentran en Estados Unidos, Emiratos Árabes Unidos, Bahréin, México, Pakistán e India. No se descarta que también haya habido víctimas en Europa.
Esta denuncia representa una importante escalada en el uso de las herramientas de espionaje informático y en el propio uso de Internet: por primera vez una acción legal de este tipo no procede de una asociación de derechos civiles, sino de un gigante de la web como Facebook.
Una acusación contundente
Y la acusación dirigida a NSO Group es contundente, porque se refiere a la violación de una serie de normativas, en primer lugar la Computer Fraud and Abuse Act de Estados Unidos y la California Comprehensive Computer Data Access and Fraud Act, así como la violación de las condiciones de uso de WhatsApp.
Recientemente, WhatsApp experimentó dos incidentes de potencial espionaje que, por fortuna, ya han sido resueltos. El primero de ellos, el más grave, consistía en la ejecución de manera remota de un desbordamiento de enteros a través de una llamada manipulada por un atacante para instalar y ejecutar un código malicioso en el celular de la víctima. El otro, un poco más benévolo (pero aún bastante severo), se trataba también de la implantación de un código malicioso, aunque esta vez por medio de un archivo de video infectado (enviado desde la misma WhatsApp por el/la delincuente). Sin embargo, cabe destacar que ambos contratiempos se pudieron solucionar instalando las versiones más actualizadas de la aplicación.
Por qué espiar en WhatsApp y algunos casos
No es demasiado inusual que una persona desconfíe de su pareja. Concretamente, el espionaje en WhatsApp es célebre por ser utilizado por gente que sospecha de una infidelidad de la otra persona (y, de hecho, figura recurrentemente entre las tendencias de Google). También cabe destacar que muchos padres desean saber con quién charlan sus hijos al temer por su seguridad, y por ende controlan los diálogos con sus contactos. De esta manera, al explotar estos miedos comunes en varios individuos, los ciberdelincuentes aprovechan para desarrollar programas engañosos que prometen (a veces falsamente) servir para entrometerse en el celular de alguien más y revisar sus conversaciones privadas.
Quién es el Grupo NSO y qué ataques de ciberdelincuentes ha realizado
Grupo NSO es una empresa de tecnología originaria de Israel, fundada en 2010, la cual desarrolló un software espía llamado Pegasus que permite la vigilancia remota e invasiva a teléfonos celulares mediante la activación a distancia de la cámara y el micrófono, la visualización de todos los mensajes almacenados en el aparato, y el acceso a la información sobre todas las llamadas entrantes y salientes y a otros asuntos (como fotos, videos o correos electrónicos). Una vez instalado en el equipo, se exportan todos los datos obtenidos del usuario hacia sitios de internet creados por Grupo NSO, los cuales se renuevan constantemente para que no puedan ser detectados.
En principio, se supone que dicho programa informático sirve para luchar contra el crimen y el terrorismo y que, por ende, solo es vendido a gobiernos para monitorear a delincuentes y que la empresa creadora no opera el sistema, sino que lo usan organismos públicos de inteligencia y seguridad. Por ejemplo, Pegasus fue vital para la captura del narcotraficante mexicano Joaquín “El Chapo” Guzmán.
Su salto a la fama en 2016
Sin embargo, estos preludios han sido puestos en tela de juicio más de una vez. Concretamente, Grupo NSO saltó a la fama cuando en 2016 fue acusada por expertos de haber ayudado a espiar en WhatsApp al activista de derechos humanos Ahmed Mansoor, en Emiratos Árabes Unidos. Dicho ataque fue mediante un enlace malicioso contenido en un mensaje de texto.
En 2018, se vinculó a Pegasus con el espionaje del círculo íntimo del periodista disidente y opositor al gobierno suadí Jamal Khashoggi, quien fue asesinado en Turquía (donde se encontraba exiliado) ese mismo año por hombres enviados por el gobierno del país árabe.
En 2019, Grupo NSO fue nuevamente acusado por WhatsApp de haber espiado a un centenar de activistas, periodistas y civiles mediante videollamadas que instalaban el software espía incluso si no eran contestadas (táctica que explotaba una vulnerabilidad de la aplicación de mensajería). Se estimó que se había afectado a alrededor de 1400 celulares, la mayoría de los cuales pertenecían a civiles.
Por su parte, Apple presentó en 2021 una demanda contra Grupo NSO por una infección masiva de Pegasus a sus usuarios, que resultó en alrededor de 50 mil personas espiadas.
Vulnerabilidad de WhatsApp
Ninguna aplicación ni servicio del estilo de WhatsApp es inmune a sufrir ciberataques, ya que estos son inherentes al mundo internáutico. Por ello, lo importante es cómo tratan la problemática desde su rol para solucionarla. En este caso, han implementado el lanzamiento de un sitio de internet donde publican avisos de seguridad, lo que no solo les da estatus de organización rápida para estos sucesos, sino también transparente. De hecho, realizan revisiones de seguridad interna y desarrollaron sistemas de detección automatizados para resolver de modo proactivo cualquier inconveniente. Si se va al caso, todos los grandes asuntos de seguridad concernientes a WhatsApp se solucionaron en no más de dos días.
WhatsApp y los sistemas de mensajería instantánea: ¿son seguros?
Si bien la seguridad plena es un tópico inalcanzable en la práctica, también es cierto que, en los últimos tiempos, la protección de datos personales es un asunto que está indudablemente en boga. Por otro lado, todos los usuarios deben ser conscientes de que necesitan tomar recaudos tales como contraseñas complicadas en sus cuentas, o poseer sentido común para no caer en las trampas de los ciberdelincuentes.
Puntualmente, WhatsApp tomó la decisión en 2016 de cifrar de extremo a extremo todos los mensajes enviados mediante su plataforma, más allá de que la información se continúe almacenando en sus servidores. Con esta medida, solamente los usuarios pueden acceder a dichos mensajes, ni siquiera la compañía puede verlos.
Sin embargo, hay otras opciones aún mejores que no guardan su contenido en ningún servidor, permiten que los mensajes se borren solos luego de un cierto tiempo, y hasta anuncian si alguien hizo una captura de pantalla a una conversación. Sin dudas, el asunto de la seguridad en las aplicaciones de servicios de mensajería ha tomado una relevancia gigantesca.
Además, los usuarios tienen que tener en cuenta que aunque una comunicación esté cifrada de extremo a extremo no significa que alguien no pueda verla. Sólo significa que su contenido está cifrado en el camino de un extremo a otro. Esto evita el llamado ataque del hombre en el medio (MITM).
Pero si uno de los dos “extremos” se ve comprometido, si nuestro teléfono es hackeado (por ejemplo con las técnicas utilizadas por NSO Group, como se ha ilustrado anteriormente) o confiscado físicamente por la policía y desbloqueado, el cifrado deja de ser útil.
La mensajería instantánea, por tanto, puede utilizarse siendo consciente de sus limitaciones y de que no todas las aplicaciones tienen el mismo nivel de seguridad.
Comparación con Signal
WhatsApp, por ejemplo, tiene algunas diferencias que reducen su nivel de privacidad y seguridad en comparación con Signal:
Metadatos
El mensaje no es legible debido al cifrado E2E, pero WhatsApp mantiene los metadatos sin cifrar. Recordemos que en el caso de un mensaje, los metadatos son, por ejemplo, la fecha y la hora de envío, los números de teléfono del remitente y del destinatario, su ubicación, etc. Estos metadatos pueden proporcionar a un tercero información importante. Por eso, Signal -a diferencia de WhatsApp- solo almacena en los metadatos el número de teléfono, la fecha de creación de la cuenta y la hora de la última conexión a los servidores de Signal. Tampoco almacena estos metadatos de los mensajes en sus servidores (como hace WhatsApp). Tengamos en cuenta también que WhatsApp es propiedad de Facebook y comparte la información de los usuarios con la empresa matriz… aunque sean sólo metadatos.
Copia de seguridad
De nuevo por razones de seguridad, en Signal los mensajes se almacenan localmente en el dispositivo y ni siquiera se guardan en la copia de seguridad de iCloud o iTunes (este es el caso del iPhone). En Android, la función de copia de seguridad de Signal sólo puede utilizarse para transferir mensajes de un smartphone a otro. Por el contrario, en WhatsApp la copia de seguridad del chat puede guardarse fuera del smartphone (por ejemplo, en una nube) y tampoco está cifrada. El iMessage de Apple también hace copias de seguridad en la nube, pero lo hace de forma encriptada (y la realización de esta copia de seguridad se puede desactivar en los ajustes).
Código Fuente:
El de Signal es público, según la lógica del código abierto, y por tanto accesible para su análisis, mientras que los de WhatsApp e iMessage -como productos comerciales- no lo son;
Auditoría:
Signal fue sometida, ya en 2016, a una auditoría de seguridad por un equipo independiente.
Otras aplicaciones de mensajería instantánea que señalamos, por estar consideradas entre las más seguras, son:
- Wire (de Wire Swiss GmbH)
- Threema (por Threema GmbH)
Ambos son fabricados por empresas suizas. Desgraciadamente, su escasa difusión hace que sean poco utilizables.
Cómo hacer para espiar en WhatsApp
Hemos mencionado que los mensajes están encriptados E2E, por lo que es más conveniente para un atacante utilizar otras herramientas para hackearlos.
A menudo se aprovechan las vulnerabilidades de los sistemas de mensajería instantánea, como el utilizado por NSO Group, pero en la mayoría de los casos se aprovecha el error humano, que sigue siendo la vulnerabilidad más fácil de atacar.
El primer y más grave error humano es el uso de un producto como WhatsApp por parte de personas y empresas que intercambian información confidencial. WhatsApp es una app que no está diseñada para la seguridad, y su uso tan extendido la convierte en objetivo de empresas e investigadores que buscan continuamente vulnerabilidades que explotar.
Como ya se ha mencionado, hay ciertos softwares espías que se pueden instalar en el celular para revisar no solamente las conversaciones de otro dispositivo, sino también todo lo que hace esa otra persona con su teléfono. Algunas de estas aplicaciones son: FlexiSPY, Hoverwatch, SpyFone, Mobistealth, mSpy, TeenSafe y Cerberus, pero hay varias más que pueden hallarse en internet.
Amenazas
Y al margen de los casos ya nombrados, hay otro factor peligrosidad. Hasta hace poco, los ciberdelincuentes podían aprovechar para entrar a revisar los datos de otra persona. Puntualmente, esto era factible a través del código de verificación de la cuenta, que se hace mediante un número de teléfono al que cualquiera podía tener acceso.
Para cotejar que realmente esa persona quisiera verificar su WhatsApp, la aplicación envía a ese número un mensaje de texto o una llamada. Si se elegía la segunda opción, se podía no responder, con lo cual el mensaje con el código para verificar la cuenta quedaba registrado en el buzón de voz. Y, lamentablemente para este caso, dicho buzón se puede consultar desde cualquier teléfono usando un pin de cuatro dígitos que, por lo general, era fácil de adivinar al estar establecido por defecto.
Cómo funciona el software espía para WhatsApp
Para atacantes menos sofisticados, hacerlo no es fácil, ya que las conversaciones se encuentran cifradas de extremo a extremo y la clave para leer su contenido se halla únicamente en los teléfonos de los interlocutores. Al margen de esto y descontando las estafas, los programas espías son en cierto punto una utopía dada la encriptación existente. Por empezar, hay algunos que permiten saber cuándo alguien se conecta y desconecta de la aplicación, aunque son los más rudimentarios.
Hilando más fino, existen aplicaciones espías de control remoto o a distancia. Estas no pueden usarse con desconocidos, sino que deben instalarse en el celular de la persona espiada. Por ejemplo, algunas habilitan a manipular otros dispositivos remotamente, pero el/la espiado/a es avisado/a de esto en el mismo momento. Otra alternativa similar son los programas que suplantan identidad, mediante los cuales el atacante puede enviar un enlace malicioso que, una vez presionado por la víctima, instala el software espía en su teléfono.
Otra rama son los programas con acceso directo al dispositivo, lo que puede ser hecho hasta por inexpertos. Sin embargo, para estos casos es necesario disponer físicamente del teléfono a espiar durante unos minutos. Una vez instalada, la aplicación permite visualizar los datos del teléfono espiado.
Clonar la dirección MAC para espiar en WhatsApp
Existe otra forma de inmiscuirse en un WhatsApp ajeno. La dirección MAC es un código alfanumérico de 12 dígitos que identifica con exclusividad a todos los dispositivos que pueden conectarse a internet, y para saber cuál es se debe ingresar en la configuración del dispositivo que se desea espiar. Una vez descubierta, hay que sustituir la dirección MAC del teléfono espía por la del teléfono de la víctima, lo que se puede hacer con aplicaciones que pueden falsificar la dirección MAC. Entonces, el delincuente instala WhatsApp en su celular, introduce el número de teléfono del/de la espiado/a y aguarda por el código de verificación que WhatsApp enviará al teléfono de la víctima. Si el espía tiene acceso a su celular (lo cual constituye el punto débil y lo convierte en un proceso engorroso), podrá leer este código y escribirlo en el WhatsApp de su equipo.
Más formas de espiar en WhatsApp
Hemos visto que la mayor vulnerabilidad es el factor humano.
Y es precisamente por la falta de atención del usuario que es posible espiar en WhatsApp da otra persona con extrema facilidad, sin tener ningún conocimiento informático especial. Sólo tienes que usar WhatsApp Web.
WhatsApp Web es una práctica aplicación (se llama WhatsApp Desktop) que permite utilizar WhatsApp también en la computadora. También puede utilizarse como aplicación web a través de Chrome, Firefox, Opera, Microsoft Edge y Safari.
En ambos modos, sólo tienes que abrir WhatsApp en tu smartphone y, desde los ajustes en “WhatsApp Web/Desktop”, escanear el QRCode que aparece en la pantalla de tu computadora.
WhatsApp es más cómodo de usar en la computadora que la versión del smartphone. Esto significa que todas las conversaciones de WhatsApp se sincronizarán entre el smartphone y la computadora. La única otra condición es que el smartphone esté conectado a Internet. Todo muy conveniente.
Pero, ¿qué pasa si otra persona toma nuestro smartphone y lo conecta a su computadora? Será un juego de niños espiar en WhatsApp todo lo que hacemos
Este riesgo se puede evitar de forma elemental, simplemente no dejando el smartphone sin vigilancia cuando no está bloqueado. Establecer una contraseña de bloqueo en nuestro dispositivo es -como ya hemos dicho- una regla tan sencilla como imprescindible.
También podemos -para mayor seguridad- activar la autenticación de dos factores en WhatsApp: es una opción disponible en el menú de Ajustes, en Verificación en dos pasos.
Por último, si sospechamos que alguien ha conseguido conectar su computadora a nuestro WhatsApp, basta con ir al menú de WhatsApp Web/Desktop y se nos mostrará qué dispositivos están conectados. Si no los conectamos, simplemente podemos tocar la opción Desconectar de todos los dispositivos (en iOS) o Desconectar de todos los equipos (en Android).
Conclusiones y consejos para asegurar tu teléfono inteligente y tu WhatsApp
Es imprescindible prestar atención a mensajes sospechosos (que contienen algún enlace) y a aplicaciones de dudosa procedencia (más que nada, aquellas que se pueden descargar solo en tiendas alternativas por estar prohibidas en Google Play Store y Appstore -ya que dichos espacios poseen muchos más filtros-). A su vez, también resulta clave bloquear el teléfono con contraseñas complicadas y no compartirlas.
Consejos para que no te espíen
Hay algunos tópicos que es importante recalcar.
– Qué pueden ver cuando espían: No solamente pueden revisar charlas con contactos, sino también todos los archivos, correos, páginas y datos disponibles en el celular.
– Proteger WhatsApp de los espías: Otras maneras son, por ejemplo, la biometría, que la aplicación implementa desde 2019 para cuidar las conversaciones con huella dactilar y/o reconocimiento facial. También hay que cerrar todas las sesiones de WhatsApp Web abiertas (sobre todo si no se reconocen como propias), disponer de buenos antivirus, y nunca perder de vista el teléfono para que nadie pueda acceder a él.
– Qué dice la ley sobre espiar en WhatsApp: Concretamente, representa un delito, y en algunos países la pena por esto puede llegar a los siete años de cárcel si acaso se ha hecho con intenciones lucrativas.
Artículo publicado originalmente en 12 Nov 2021