Hoy día, la era de las tecnologías y las TIC (Tecnologías de la Información y Comunicación) hemos cambiado los móviles exclusivamente usados para llamar por pequeños ordenadores móviles dotados de un montón de nuevas características, que además de poder llamar, tenemos todo en la palma de la mano. Desde hace unos dos años yo empecé utilizando Whatsapp como sistema de mensajería en los que pocos de mis contactos tenían Whatsapp, hasta a día de hoy donde es el estándar de facto de mensajería instantánea en móviles Android, iPhone, Blackberry y Windows Phone y todo el mundo no puede vivir sin el. Nadie dudará de que la idea es buena y ha triunfado precisamente por ser un programa de mensajería sin importar la plataforma usada.
Pero la razón de este post no es esta, si no expresar mi preocupación por la seguridad de Whatsapp, algo que llevo tiempo leyendo en Internet, por poner un ejemplo aquí y aquí, y que, bueno, algunos de los casos se han ido solucionando, pero que otros continúan igual o practicamente igual; y que finalmente con una pequeña prueba se confirma de que es tremendamente inseguro (claro, bajo mi punto de vista). Por no olvidar de que hay que tener cuidado con que se enviamos o contamos por este sistema.
Uno de los problemas mas graves de Whatsapp, para mi, es el modo de identificarnos, que sería algo así como «soy este numero y quiero recibir y enviar mis mensajes». Teniendo nuestra cuenta de Whatsapp previamente activada en un terminal móvil (no voy a hablar del proceso de activación xD), nuestro nombre de usuario de Whatsapp es nuestro numero con el código de país (prefijo, en España el 34), quedando así: códigopaisynuestronumero@s.whatsapp.net. Y nuestra contraseña de identificación, en el caso de Android, es nuestro IMEI (desde las últimas actualizaciones de Whatsapp como “apaño” este número va invertido) pasado por un cifrado md5. ¿Formas de averiguar el IMEI? Un montón. Y el numero de teléfono lo mismo… solo con pensar las aplicaciones móviles que usamos que pueden leer esos datos en Android, o las veces que nos han regalado un móvil pudiendo saber el anterior dueño el IMEI, o incluso solamente con buscar el propio IMEI en la caja del móvil cuando lo adquirimos (caja que andará purulando por cualquier lado ¡Fijo! xD).
El IMEI de un móvil se averigua fácilmente marcando *#06# o buscandolo en la misma caja del móvil cuando lo adquirimos
En el caso de iPhone, el usuario de acceso sería igual que como hemos dicho anteriormente y la contraseña de acceso, en vez del IMEI, en este caso es la dirección MAC de red (cifrada con md5 también) aunque es otro dato fácilmente averiguable (ejemplo en Wifis abiertas, donde podría averiguarse la MAC de los terminales móviles conectados a dicha red).
Aplicación que tiene riesgo de suplantación de identidad, debemos de ser cautos con nuestras conversaciones
Todo esto que cuento podemos leerlo en otras palabras aquí, que además de esto, también se habla de WhatsAPI, una API que hace de cliente de Whatsapp desarrollada para los lenguajes de scripting Python y PHP, de esta forma podemos hacer nuestras aplicaciones web y poder mandar mensajes en Whatsapp con la mejor intención del mundo, notificaciones o lo que queramos.
Sin embargo, haciendo una pequeña simulación de malas intenciones (lo hice conmigo mismo), pude comprobar que con ese script se puede suplantar la identidad (usando el usuario y contraseña antes comentados) y recibir los mensajes sin que el atacado pueda llegar a enterarse de una forma sencilla. Aunque bien es verdad que simultáneamente no se puede conectar al mismo usuario de Whatsapp dos clientes de este servicio, pero incluso con esta API se puede saber cuando el suplantado en este caso se ha conectado de nuevo a Whatsapp (momento en que se expulsa una de las dos conexiones), probablemente afinando el script se puede salvar estas pequeñas pegas.
Entiendo que la forma que solucione esto rápidamente es que cada usuario pueda definir su contraseña, de tal forma, que las contraseñas no lleven el mismo patrón genérico para todos.
Según este post, os adjunto los vídeos que publicaron de hace unas semanas donde pone cuatro casos prácticos simulados: el hijo inunda de mensajes a su padre para que le compre una moto (flooding), una pareja que discute porque un tercero se mete en la conversación y se hace pasar por uno de ellos, spam en whatsapp y por último interceptación de mensajes (en este caso de forma transparente).
Las medidas para evitar disgustos serían tener cuidado con que revelamos en nuestras conversaciones, fotos, etc. También tener cuidado en el uso de redes Wifi abiertas, y sobretodo tener cuidado con las aplicaciones que usamos en nuestro smartphone y los permisos de acceso que estas tienen.
