Usar WhatsApp es como enviar secretos con postales

Especialistas en seguridad informática avisan de los agujeros de seguridad de una aplicación que en poco tiempo ha relegado a los SMS a la marginación.

Es la aplicación de moda. WhatsApp envía y recibe más de 11.500 mensajes cada segundo a todo tipo de teléfonos inteligentes, ya sean iPhoneAndroidNokia o BlackBerry. Y lo hace totalmente gratis, lo que ha puesto al SMS entre la espada y la pared. Con su retirada de la tienda de aplicaciones de Apple, cobran fuerza las dudas sobre la seguridad en las comunicaciones de un programa instalado en millones de terminales.

Días después de su salida forzosa de la App Store, todavía no se conocen las razones oficiales de la decisión tomada por Apple, tan solo un correo electrónico de su fundador, Jan Koum, en el que descarta que la causa sea un fallo de seguridad. Todas las apps que se venden en esta tienda pasan por un riguroso proceso de revisión y sonclasificadas de acuerdo a su contenido. WhatsApp superó todos los filtros… hasta el 14 de enero.

“WhatsApp ha sido un poco desastre”, afirma el coordinador de Antifraude de Hispasec, Sergio de los Santos, que recuerda que la aplicación nació con “fallos de principio” que ha tenido que ir corrigiendo en sucesivas versiones. Por ejemplo, la falta de encriptación de los mensajes permite acceder al contenido de los mismos -números de teléfono y conversaciones- a cualquier persona conectada a la misma red mediante un programa conocido como sniffer. Es “hipersencillo”, asegura De los Santos.

El cifrado de datos consiste en volver ilegible un mensaje con el fin de que si alguien no autorizado accede a él, no le sirva de nada. El emisor y el receptor conocen la clave para descifrarlo, que suele ser una función matemática. Este método se usa, por ejemplo, en las conexiones seguras en Internet mediante HTTPS. WhatsApp no cifra los mensajes que envía.

El segundo “agujero” es la autenticación, la confirmación de que todas las partes de la comunicación son quienes dicen ser. El pobre método escogido por la aplicación permite, según explica Sergio de los Santos, “secuestrar el número de teléfono” y enviar mensajes haciéndose pasar por otro usuario. Esta vulnerabilidad implica “graves problemas de robo de identidad“, advierteDavid Barroso, experto en seguridad de Telefónica.

Teniendo en cuenta el histórico de fallos, De los Santos augura que la retirada de la aplicación se debe a un motivo fundado. “Esto tiene que ser grave”, dice.

El símil del correo postal

“WhatsApp es una aplicación insegura”, afirma tajante Félix Brezo, investigador en seguridad informática del instituto tecnológico DeustoTech de la Universidad de Deusto, y autor de varias ponencias sobre seguridad informática en congresos internacionales. Y propone alternativas que sí cifran los mensajes, como Skype o Gtalk. “En el caso de una carta, cuando yo la envío tiene que leerla solo el destinatario”, ilustra. Con WhatsApp, “mínimo el cartero lo va a ver”, corrobora De los Santos.“Usar WhatsApp es como enviar secretos con postales”, ejemplifica.

Brezo añade otro elemento a las dudas sobre la aplicación: al borrar un mensaje, “no se borra del todo” puesto que permanece en el teléfono. Aun después de pulsar “eliminar”, los archivos siguen estando ahí. Para acceder a estos mensajes basta con acceder a la base de datos del terminal. La aplicación también registra las coordenadas GPS desde las que se envió cada mensaje si esta funcionalidad está activada.

Privacidad frente a usabilidad

“Muchas veces preferimos ciertas funcionalidades frente a la privacidad“, constata David Barroso. Sin embargo, añade que la implementación de métodos para que las comunicaciones electrónicas sean seguras, como el cifrado SSL, no es “en absoluto” complicada. “Siempre se busca más usabilidad, experiencia de usuario”, pero recuerda que no se debería descuidar la seguridad.

No estamos para tonterías, y más con una aplicación que ha ganado tanta popularidad”, concluye Sergio de los Santos.

Por JON LAISECA

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s