{"id":62757,"date":"2016-10-13T01:52:52","date_gmt":"2016-10-13T04:52:52","guid":{"rendered":"http:\/\/www.elsindical.com.ar\/notas\/?p=62757"},"modified":"2016-10-13T01:52:52","modified_gmt":"2016-10-13T04:52:52","slug":"los-diez-grandes-riesgos-del-uso-de-whatsapp","status":"publish","type":"post","link":"https:\/\/www.elsindical.com.ar\/notas\/los-diez-grandes-riesgos-del-uso-de-whatsapp\/","title":{"rendered":"Los diez grandes riesgos del uso de WhatsApp"},"content":{"rendered":"

\"WhatsApp\"<\/a>\u00a0 El Centro Criptol\u00f3gico public\u00f3 un informe en el que advierte: \u00abDesde sus inicios, los creadores de WhatsApp descuidaron algunos elementos b\u00e1sicos en cuanto a la protecci\u00f3n de la aplicaci\u00f3n y de los datos personales que se gestionan en esta aplicaci\u00f3n\u00bb.<\/em><\/p>\n

\u00abLa compartici\u00f3n de informaci\u00f3n personal sensible que se produce a diario en WhatsApp, junto con la escasa percepci\u00f3n de riesgo que los usuarios tienen con la seguridad de la informaci\u00f3n vinculada a los dispositivos m\u00f3viles, ha convertido a esta plataforma en un entorno atractivo para intrusos y ciberatacantes, se\u00f1ala el CCN (m\u00e1s concretamente, el CCN-CERT), y enumera los siguientes riesgos:<\/p>\n

1. EL DELICADO PROCESO DE ALTA<\/p>\n

Seg\u00fan este organismo, \u00abla carencia m\u00e1s importante de la plataforma hasta el momento ha residido en la seguridad en el proceso de alta y verificaci\u00f3n de los usuarios. Las caracter\u00edsticas del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre\u00bb.<\/p>\n

2. SECUESTRO DE CUENTAS APROVECHANDO FALLOS DE LA RED<\/p>\n

\u00abHace unos meses, la firma Positive Technologies hizo p\u00fablico un v\u00eddeo3 mostrando c\u00f3mo secuestrar cuentas, tanto de WhatsApp como de otras aplicaciones como Telegram, utilizando fallos conocidos en el protocolo de telecomunicaciones SS74\u00bb.<\/p>\n

Y explica: \u00abAprovechando estos fallos de seguridad conocidos y a\u00fan sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telef\u00f3nica que el tel\u00e9fono del atacante tiene el mismo n\u00famero que la v\u00edctima. De esta forma se consigue recibir un c\u00f3digo de verificaci\u00f3n de WhatsApp v\u00e1lido, teniendo acceso completo a la cuenta de la v\u00edctima, independientemente del cifrado incluido en las comunicaciones\u00bb.<\/p>\n

Como soluci\u00f3n, el CCN-CERT recomienda:<\/p>\n

Abrir WhatsApp y presionar sobre Ajustes.
\nTocar en Cuenta y seleccionar Seguridad.
\nEn esta pantalla se pueden habilitar las notificaciones de seguridad cuando se selecciona Mostrar notificaciones de seguridad<\/p>\n

3. BORRADO INSEGURO DE CONVERSACIONES<\/p>\n

\u00abEste fallo, que ya se utilizaba en versiones anteriores de la aplicaci\u00f3n para obtener los registros de las conversaciones utilizando t\u00e9cnicas forenses, vuelve a afectar a las versiones m\u00e1s recientes de WhatsApp\u00bb, asegura el CCN-CERT.<\/p>\n

Y contin\u00faa: \u00abAdem\u00e1s, hay que tener en cuenta las implicaciones cuando se tenga activa la opci\u00f3n de copia de seguridad (disponible a trav\u00e9s de iCloud o Google Drive), ya que esta informaci\u00f3n tambi\u00e9n ser\u00e1 respaldada de forma autom\u00e1tica, almacenando una posible conversaci\u00f3n ya borrada, y que podr\u00eda ser recuperada en un futuro\u00bb.<\/p>\n

La \u00fanica forma de eliminar estas conversaciones de una forma segura es desinstalar y volver a instalar la aplicaci\u00f3n. \u00abAunque se debe tener en cuenta que este proceso no eliminar\u00e1 las posibles copias de seguridad de nuestros datos que se hayan hecho en la nube\u00b7, advierten.<\/p>\n

4. DIFUSI\u00d3N DE INFORMACI\u00d3N SENSIBLE DURANTE LA CONEXI\u00d3N INICIAL<\/p>\n

\u00abDurante el establecimiento de conexi\u00f3n con los servidores de la aplicaci\u00f3n WhatsApp intercambia en texto claro informaci\u00f3n sensible acerca del usuario, como el sistema operativo del cliente, la versi\u00f3n de la aplicaci\u00f3n en uso o el n\u00famero de tel\u00e9fono registrado. Esta informaci\u00f3n puede quedar expuesta a cualquier atacante en el caso de utilizar redes Wi-Fi p\u00fablicas o de dudosa procedencia\u00bb.<\/p>\n

La \u00fanica soluci\u00f3n a este problema de difusi\u00f3n de informaci\u00f3n sensible\u00bb, explica, \u00abser\u00e1 el uso de una conexi\u00f3n VPN\u00bb.<\/p>\n

5. ROBO DE CUENTAS MEDIANTE SMS Y ACCESO F\u00cdSICO<\/p>\n

\u00bfSab\u00eda que \u00abun posible descuido o p\u00e9rdida del tel\u00e9fono (a pesar de tener los mecanismos de bloqueo de pantalla y c\u00f3digo de seguridad) puede permitir que una persona con acceso f\u00edsico al tel\u00e9fono pueda secuestrar la sesi\u00f3n de WhatsApp de una forma sencilla\u00bb?.<\/p>\n

\u00bfC\u00f3mo? \u00abEl primer m\u00e9todo tiene que ver con el sistema de registro de la aplicaci\u00f3n. Un atacante podr\u00eda utilizar un tel\u00e9fono propio o un emulador de terminal y comenzar el proceso de registro con el n\u00famero de la v\u00edctima, como si se tratara de un cambio de terminal\u00bb.<\/p>\n

\u00abSi el atacante consigue acceso f\u00edsico al tel\u00e9fono y la previsualizaci\u00f3n de SMS se encuentra activada, podr\u00e1 observar el c\u00f3digo de seguridad que el tel\u00e9fono reciba, registrando satisfactoriamente su terminal y obteniendo acceso a la sesi\u00f3n de la v\u00edctima\u00bb.<\/p>\n

\u00bfSe puede evitar? S\u00ed, desactivando la previsualizaci\u00f3n del remitente y contenido en la pantalla de bloqueo del terminal.<\/p>\n

6. ROBO DE CUENTAS MEDIANTE LLAMADA Y ACCESO F\u00cdSICO<\/p>\n

\u00abSi el m\u00e9todo para ocultar las notificaciones de SMS se encuentra activo, el atacante s\u00f3lo deber\u00e1 tener f\u00edsicamente el tel\u00e9fono durante 5 minutos para poder acceder a la verificaci\u00f3n por llamada, descolgar y obtener el c\u00f3digo de verificaci\u00f3n\u00bb, se explica en el informe.<\/p>\n

Por el momento, la \u00fanica contramedida ser\u00eda \u00abrecopilar los diferentes n\u00fameros de tel\u00e9fono utilizados por la aplicaci\u00f3n para realizar estas llamadas de verificaci\u00f3n y bloquearlos desde el terminal para no poder realizar la activaci\u00f3n utilizando este mecanismo\u00bb.<\/p>\n

7. PELIGROS DE LA DESCARGA DE WHATSAPP DE ‘MARKETS’ NO OFICIALES<\/p>\n

Ojo con los marketplaces de aplicaciones desconocidos, no se descargue nunca apps que en su descripci\u00f3n prometan posibilidades de personalizaci\u00f3n y caracter\u00edsticas no disponibles en la versi\u00f3n oficial. \u00abExisten innumerables estafas como la aplicaci\u00f3n Whatsapp Plus, que promet\u00eda herramientas personalizadas, multitud de fondos y paletas de colores diferentes para las conversaciones\u00bb. M\u00e1s de 35 millones de usuarios se hab\u00edan descargado esta aplicaci\u00f3n a principios de a\u00f1o…<\/p>\n

8. ATAQUES DE PHISHING UTILIZANDO LA VERSI\u00d3N WEB DE WHATSAPP<\/p>\n

\u00abWhatsApp Web es una extensi\u00f3n de la cuenta del tel\u00e9fono m\u00f3vil que permite usar la popular aplicaci\u00f3n de mensajer\u00eda desde cualquier equipo de sobremesa o port\u00e1til (…).Para comenzar con su uso, tan solo hay que acceder a la direcci\u00f3n https:\/\/web.whatsapp.com y escanear el c\u00f3digo QR\u00bb.<\/p>\n

\u00bfC\u00f3mo se produce el fraude? \u00abCon la falsa promesa de promociones exclusivas de grandes empresas o de descuentos en productos del momento, un posible atacante puede sugerir a la v\u00edctima escanear un c\u00f3digo QR con su aplicaci\u00f3n para acceder a estas ventajas, cuando en realidad est\u00e1 robando las credenciales de inicio de sesi\u00f3n\u00bb, explican desde el Centro Criptol\u00f3gico Nacional.<\/p>\n

9. ALMACENAMIENTO DE LA INFORMACI\u00d3N EN LA BASE DE DATOS<\/p>\n

\u00abLa base de datos de conversaciones, ficheros, mensajes, as\u00ed como otros datos que maneja la aplicaci\u00f3n, se almacena de forma local dentro del tel\u00e9fono, independientemente de que se tenga la opci\u00f3n de \u00abbackup\u00bb en la nube activada en nuestro dispositivo. Como se ha visto en apartados anteriores, WhatsApp utiliza SQLite para almacenar este tipo de informaci\u00f3n en la base de datos, por lo que si un atacante lograra hacerse con este fichero podr\u00eda acceder a todas las conversaciones y datos privados del usuario\u00bb.<\/p>\n

\u00abPor este motivo, y a pesar de que durante los primeros a\u00f1os de vida de la aplicaci\u00f3n este fichero se encontraba sin cifrar, en la actualidad se encuentra protegido contra este tipo de casos\u00bb.<\/p>\n

Ahora bien… \u00aben funci\u00f3n de la versi\u00f3n utilizada, existen multitud de aplicaciones8 que permiten de una forma sencilla el descifrado de la informaci\u00f3n contenida\u00bb, dice el informe.<\/p>\n

10. INTERCAMBIO DE DATOS PERSONALES ENTRE WHATSAPP Y FACEBOOK<\/p>\n

Por \u00faltimo, el CCN-CERT hace referencia a la \u00faltima gran pol\u00e9mica que rodea a la app m\u00e1s popular de mensajer\u00eda instant\u00e1nea: su nueva pol\u00edtica de privacidad, que supone el intercambio de datos de los usuarios con Facebook (su empresa matriz).<\/p>\n

La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, al igual que sus hom\u00f3logas en Alemania o Reino Unido, ya est\u00e1n investigando la legalidad de esta pol\u00edtica.<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00a0 El Centro Criptol\u00f3gico public\u00f3 un informe en el que advierte: \u00abDesde sus inicios, los creadores de WhatsApp descuidaron algunos elementos b\u00e1sicos en cuanto a la protecci\u00f3n de la aplicaci\u00f3n y de los datos personales que se gestionan en esta aplicaci\u00f3n\u00bb. \u00abLa compartici\u00f3n de informaci\u00f3n personal sensible que se produce a diario en WhatsApp, junto…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[247,24589,1101,24590,13207],"class_list":["post-62757","post","type-post","status-publish","format-standard","hentry","category-informatica","tag-cuentas","tag-errores","tag-red","tag-vulnerabilidad","tag-whatsapp"],"_links":{"self":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/62757","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/comments?post=62757"}],"version-history":[{"count":1,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/62757\/revisions"}],"predecessor-version":[{"id":62758,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/posts\/62757\/revisions\/62758"}],"wp:attachment":[{"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/media?parent=62757"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/categories?post=62757"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elsindical.com.ar\/notas\/wp-json\/wp\/v2\/tags?post=62757"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}