Publicado por Jose M. Bernal
WhatsApp ha dejado de ser una aplicación más de mensajería instantánea para convertirse en un auténtico fenómeno social. Hoy en día es usada por todo tipo de perfiles de usuario, y tan solo en España ya la utilizan más de 10 millones de usuarios.
De hecho puede llegar a ser motivo de una cierta exclusión social, ya que el no hacer uso de esta aplicación puede convertirte a ojos de tus allegados en “el amigo caro”, y podrías notar cómo el número de llamadas y mensajes que recibes de tus amigos se reduce considerablemente.
Anécdotas a parte, hoy en día la gran mayoría de usuarios de un teléfono inteligente (o Smartphone) utilizan esta aplicación, y es precisamente este alto grado de difusión el que ha sacado a relucir otros aspectos no tan positivos de la aplicación como es el grado de seguridad de las comunicaciones establecidas.
Hasta hace bien poco los mensajes transmitidos desde esta aplicación se hacían en abierto, es decir, no incluían ningún tipo de encriptación, lo que implicaba que era relativamente sencillo ver los mensajes que enviaban otras personas si estábamos conectados a su misma red (por ejemplo, un red wifi pública). Para solventar este problema, a finales de agosto se publicó una nueva versión de WhatsApp que incluía, como una de las novedades, el cifrado de los mensajes para asegurar así la privacidad de las comunicaciones.
Sin embargo, se ha demostrado que el cifrado utilizado no es lo suficientemente robusto, por lo que las comunicaciones podrían seguir siendo interceptadas incluso con esta nueva versión.
El problema reside en que la clave de cifrado que se utiliza en dispositivos Android es el HASH del número IMEI del teléfono pero invertida; es decir, si calculamos el HASH de nuestro número de IMEI y lo escribimos de derecha a izquierda en vez de izquierda a derecha, obtendremos la clave de cifrado que utiliza la aplicación WhatsApp y, por lo tanto, podríamos descifrar los mensajes. Por otra parte, en la versión para dispositivos IOS (IPad/IPhone), la clave de cifrado utilizada es el HASH de la dirección MAC de la interfaz wifi duplicada. Muchas voces se han alzado en contra de WhatsApp desaconsejando su uso, pero ¿cuál es el riesgo real?
Para que alguien pudiese interceptar y descifrar los mensajes que envías desde tu WhatsApp, se deberían dar las siguientes condiciones:
-
El atacante debería estar conectado a la misma red wifi que tú. Por ejemplo, en una red wifi pública.
-
El atacante debería conocer el IMEI de tu teléfono móvil. Algo nada trivial.
-
El atacante debería tener suficientes conocimiento informáticos como para poder capturar el tráfico de la red, calcular el hash del IMEI y descifrar los mensajes.
Conociendo los riesgos, basta con aplicar unas simples recomendaciones de seguridad para poder seguir haciendo uso esta aplicación sin poner en riesgo nuestra privacidad:
-
Evita el uso de esta aplicación cuando estés conectado a redes wifi públicas (aeropuertos, cafeterías, etc.). Nunca sabes quién puede estar escuchando.
-
Aplica unas medidas de seguridad básicas a tu propia red wifi. De esta forma evitarás que alguien se conecte a ella sin tu consentimiento:
Nota: consulta el manual de tu router para saber cómo aplicar las siguientes recomendaciones dado que varían en función del fabricante:-
Cambia la password por defecto que da acceso a tu router o punto de acceso.
-
Aumenta la seguridad de los datos transmitidos, activando la encriptación WPA/WPA2
-
Activa el filtrado de direcciones MAC.
-
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
5 comments
Si,lose aunque aun asi no termino de confiar 128 bits se me hace poco, al menos eso evitara que vean mi trafico en general no solo de whatsapp
@Uriel
los datos transmitidos a través de una conexión VPN se envían cifrados, por lo que sería seguro. 🙂
what happened to iphone 4s??????
Si esta bien que cuando me conecto desde el trabajo o redes publicas me conecte con una VPN con 128 bits, se que no es mucho pero al menos creo que se hara un poco mas dificil que vean mi trafico.