Los peligros de whatsapp web

por:

Con sus más de 350 millones de usuarios en todo el mundo, Whatsapp es sin lugar a dudas la aplicación o el software de mensajería instantánea más extendido y de mayor fama en todas las franjas de edad. El hecho de que en fechas recientes la comprara Facebook por la desorbitante cantidad de 3.000 millones de euros, viene a avalarla doblemente y a respaldarla tanto técnica como popularmente en su crecimiento imparable.

Pero, en contraste con este desmedido uso de la aplicación, son muy pocos usuarios los que conocen y aún menos los que utilizan su versión de escritorio y sincronización para PC, es decir, whatsapp web. Y, quizá por desconocida, y sin duda por el desacierto de sus ingenieros de programación a la hora de establecer protocolos de seguridad dignos de mención, es por lo que vamos a hablar hoy de este “Whatsapp gemelo” y peligroso del que tenemos en nuestros móviles.

El peligro de Whatsapp Web

En principio la idea es buena (como casi siempre), otra cosa es la forma en que se ha implementado. Como todo lo que hoy en día lleva el apelativo de “en la nube”, Whatsapp Web viene a ofrecer sincronización de PC con la aplicación que tenemos en nuestro teléfono. Es decir, esta otra versión del software nos permite que nuestra cuenta de whatsapp esté en todo momento sincronizada y operativa también desde el ordenador, con lo que podemos recibir y enviar mensajes instantáneos desde nuestro PC con el mismo número y cuenta de whatsapp de siempre.

¿Útil, cómodo…? No lo sé muy bien. Seguro que tendrá sus seguidores y usuarios, aunque yo veo poca extensión en esta otra versión del producto. Lo que sí está claro es que es un peligro. Resulta que, como decía, no está nada bien implementada en cuanto a características de seguridad y privacidad para el usuario.

El método que han elegido para sincronizar nuestra cuenta de whatsapp del teléfono móvil y crear un clon de ésta en nuestro PC es algo tan simple (e inseguro) como hacer una foto con la cámara del móvil, a un código QR que se ofrece en la pantalla del ordenador, desde la propia web que os hemos referenciado.

Y ya está… a partir de ahí, nuestro móvil queda sincronizado con la versión de Whatsapp de nuestro ordenador… Y a buen seguro ya más de uno acaba de intuir posibles usos nada legítimos para este sistema ¿verdad?. Tan sólo es necesario contar con el teléfono de nuestra víctima unos segundos. Lo usamos para hacerle la foto pertinente al código QR, y nuestro ordenador pasa a tener una copia sincronizada y a tiempo real, del whatsapp completo de dicha víctima. Cada mensaje entrante o saliente de su móvil, pasará directamente a nuestra pantalla. (Una copia del mismo, con lo que la víctima seguirá utilizando su whatsapp con total normalidad desde su móvil, sin percatarse de nada).

Es más, podríamos usar nuestro ordenador para enviar mensajes desde la cuenta de whatsapp del verdadero usuario, de manera completamente “oficial” porque están saliendo realmente de su cuenta de usuario autentificada.

Una nefasta implementación de la seguridad

Aquí el error de los desarrolladores de Whatsapp es que no han implementado ningún otro método de verificación de que el PC que quieres sincronizar con tu cuenta de mensajería es el tuyo o tienes conocimiento del mismo. Ni doble comprobación, ni mensaje de texto de verificación, ni nada de nada. Quien tenga tu móvil unos segundos, y acceda a lapágina de whatsapp web tendrá pleno acceso y control de tu cuenta de whatsapp instantáneo, sincronizado y a copia de todas y cada una de tus conversaciones entrantes y salientes, con capacidad de edición y creación de mensajes (en tu nombre y con remitente en tu número de teléfono personal).

¿Lo han querido hacer tan cómodo que han descuidado la seguridad? ¿Les importa un bledo la privacidad de sus usuarios porque lo importante es crecer y crecer?.

No lo sabemos y no es cuestión a debatir en este post. Aquí sólo ponemos de manifiesto cómo una herramienta oficial, sin más hacking de por medio y empleándose tan sólo el propio sistema desarrollado por la compañía pertienente, permite usos ilegítimos sencillos de montar y de mantener ocultos.

Cómo podemos saber si nos han intervenido nuestro Whatsapp

Para colmo, los desarrolladores de esta aplicación de mensajería ni siquiera han creado un “chivato” que advierta o solicite permisos para la sincronización de nuestro whatsapp con un clon de escritorio. De manera que el usuario que tenga dudas o quiera retirar estos permisos invasivos (en caso de no haberlos concedido él mismo), tiene que irse a la parte superior derecha de su bandeja de entrada y localizar la opción “Whatsapp Web”. Dentro de ella podría desactivar la sincronización que un usuario ilegítimo haya podido crear… Pero claro, esto siempre que el usuario legítimo albergue duda o sospecha de que alguien lo esté espiando, porque la aplicación no avisa de nada por defecto.

De modo que así de vulnerable es tu comunicación privada (?) mediante Whatsapp.

Que cada cual saque sus propias conclusiones.

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.