Desde el Centro Criptológico Nacional (CCN) señalaban esta semana que WhatsApp sigue descuidando elementos básicos.
La carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios.
Los chats de WhatsApp no se eliminan del todo aunque se hayan borrado.
Se difunde información sensible durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes wifi públicas o de dudosa procedencia. ARCHIVO Hace unas semanas, conocíamos que WhatsApp no borra por completo los chats. Aunque creas que los has eliminado del dispositivo, lo cierto es que ahí siguen almacenados. Y es que el borrado de chats es uno de los puntos débiles en seguridad de la aplicación reina en mensajería instantánea. Esta semana, el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha dado a conocer un informe en el que alerta de los riesgos de utilizar WhatsApp, como la debilidad del proceso de registro en la aplicación, el borrado inseguro de conversaciones o la posibilidad de que se produzcan robos de cuentas. El informe del CCN aborda los principales riesgos de uso de esta plataforma que, debido a su gran aceptación, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios. "La compartición de información personal sensible que se produce a diario en esta plataforma, junto con la escasa percepción de riesgo que los usuarios tienen con los dispositivos móviles, ha convertido a WhatsApp en un entorno atractivo para intrusos y ciberatacantes", subraya. Escasa seguridad al darse de alta El informe incide en que desde sus inicios los creadores de WhatsApp "han descuidado algunos elementos básicos" en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación. En concreto, el CCN-CERT, la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, señala que la carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios. A este respecto, el informe alerta de que este proceso puede llegar a propiciar que un intruso se haga con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre. Secuestro de cuentas aprovechando fallos de la red El informe cita un vídeo publicado por la empresa Positive Technologies en el que muestra cómo secuestrar cuentas de apps como WhatsApp o Telegram aprovechando fallos en el protocolo de telecomunicaciones SS7.
En el caso de que un atacante consiguiera acceso al sistema SS7 podría interceptar o grabar llamadas, leer SMS, o detectar la localización del dispositivo utilizando el mismo sistema que la red del teléfono. El informe asegura que este ataque "se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima". Por este motivo, el Centro Criptológico Nacional recomienda activar la opción de 'Mostrar notificaciones de seguridad' en WhatsApp siguiendo estos pasos: ir al apartado de Ajustes de WhatsApp, tocar en 'Cuenta' y seleccionar la opción 'Seguridad'. En esta pantalla se pueden habilitar las notificaciones de seguridad al seleccionar 'Mostrar notificaciones de seguridad', explican. Borrado inseguro de chats Asimismo, el organismo también califica de "inseguro" el borrado de conversaciones, uno de los fallos más comunes en las aplicaciones de mensajería. Este fallo ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, y vuelve a afectar a las versiones más recientes de WhatsApp. Como medida preventiva, el CCN indica que "la única forma de eliminar estas conversaciones de una forma más segura en nuestro teléfono será desinstalar la aplicación e instalarla de nuevo. Aunque se debe tener en cuenta que este proceso no eliminará las posibles copias de seguridad de nuestros datos que se hayan hecho en la nube", advierten. Difusión de información sensible durante la conexión inicial El informe también alerta de que se difunde información sensible —el sistema operativo del cliente, la versión de la aplicación en uso y el número de teléfono registrado— durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes wifi públicas o de dudosa procedencia. La "única solución a este problema de difusión de información sensible" es el uso de una conexión VPN, sostiene este organismo. Hurto de cuentas mediante SMS o llamada El CCN también avisa de la posibilidad de robar cuentas mediante SMS, llamada o acceso físico. El robo mediante SMS tiene que ver con el sistema de registro de la aplicación: un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. De forma similar es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica. Por último, un posible descuido o pérdida del teléfono (a pesar de tener los mecanismos de bloqueo de pantalla y código de seguridad) "puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de una forma sencilla". Para el CCN, el problema de esta fórmula de ataque reside "en la dificultad para evitarlo, debido a que no existe una opción, tanto para Android como para iPhone, que fuerce al usuario a desbloquear el terminal para poder responder a una llamada, por lo que un atacante con acceso físico siempre podrá responder y completar el ataque. Riesgos al descargar en sitios no oficiales En esta línea, también advierte de los peligros de la descarga de WhatsApp en sitios no oficiales, que puede ser empleado por los ciberdelincuentes para cometer fraudes. Ataques de 'phishing' en WhatsApp web Esta extensión que permite usar WhatsApp desde cualquier dispositivo de sobremesa o portátil también encierra el riesgo de que un atacante pueda monitorizar un código QR de la web oficial, y cuando el usuario piense que se está suscribiendo a alguna promoción cebo, "estará autorizando el acceso web desde su sesión", alertan. Almacenamiento de la información en la base de datos WhatsApp utiliza SQLite para almacenar chats, ficheros y mensajes en la base de datos, por lo que si un atacante logra hacerse con este fichero podría acceder a todas las conversaciones y datos privados del usuario, advierte el CCN, aunque matiza que "en la actualidad este fichero se encuentra protegido contra este tipo de casos". Intercambio de datos entre WhatsApp y Facebook Otros de los riesgos que detecta el organismo dependiente del CNI se derivan del intercambio de datos personales con Facebook, una parte de la política de privacidad que la compañía modificó el pasado mes de agosto. Como consecuencia de ese cambio, WhatsApp transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para "actividades diversas". A pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, sí se intercambiará otra información como el número de teléfono del usuario, los contactos, la hora de última conexión así como los hábitos de uso de la aplicación. Otras recomendaciones En este contexto, el informe sobre los riesgos de WhatsApp incluye una serie de recomendaciones adicionales para que la información de los teléfonos móviles quede a salvo de posibles atacantes o programas dañinos. Entre estos consejos se encuentran mantener el teléfono bloqueado para reducir el riesgo si el teléfono cae en las manos equivocadas y tener cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten, especialmente cuando se trata de terminales Android. Además ve importante conocer los riesgos que implica realizar 'jailbreaking' o 'rooting' del terminal y recomienda desactivar la conectividad adicional del teléfono cuando no se vaya a utilizar, como podría ser la conexión WiFi o Bluetooth, ya que además de reducir el consumo de batería, reduce la posible superficie de ataque sobre el terminal.
La carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios.
Los chats de WhatsApp no se eliminan del todo aunque se hayan borrado.
Se difunde información sensible durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes wifi públicas o de dudosa procedencia. ARCHIVO Hace unas semanas, conocíamos que WhatsApp no borra por completo los chats. Aunque creas que los has eliminado del dispositivo, lo cierto es que ahí siguen almacenados. Y es que el borrado de chats es uno de los puntos débiles en seguridad de la aplicación reina en mensajería instantánea. Esta semana, el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha dado a conocer un informe en el que alerta de los riesgos de utilizar WhatsApp, como la debilidad del proceso de registro en la aplicación, el borrado inseguro de conversaciones o la posibilidad de que se produzcan robos de cuentas. El informe del CCN aborda los principales riesgos de uso de esta plataforma que, debido a su gran aceptación, se sitúa en el punto de mira de los ciberatacantes que intentan obtener datos e información de sus usuarios. "La compartición de información personal sensible que se produce a diario en esta plataforma, junto con la escasa percepción de riesgo que los usuarios tienen con los dispositivos móviles, ha convertido a WhatsApp en un entorno atractivo para intrusos y ciberatacantes", subraya. Escasa seguridad al darse de alta El informe incide en que desde sus inicios los creadores de WhatsApp "han descuidado algunos elementos básicos" en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación. En concreto, el CCN-CERT, la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, señala que la carencia más importante de la plataforma hasta el momento reside en el proceso de alta y verificación de los usuarios. A este respecto, el informe alerta de que este proceso puede llegar a propiciar que un intruso se haga con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre. Secuestro de cuentas aprovechando fallos de la red El informe cita un vídeo publicado por la empresa Positive Technologies en el que muestra cómo secuestrar cuentas de apps como WhatsApp o Telegram aprovechando fallos en el protocolo de telecomunicaciones SS7.
En el caso de que un atacante consiguiera acceso al sistema SS7 podría interceptar o grabar llamadas, leer SMS, o detectar la localización del dispositivo utilizando el mismo sistema que la red del teléfono. El informe asegura que este ataque "se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima". Por este motivo, el Centro Criptológico Nacional recomienda activar la opción de 'Mostrar notificaciones de seguridad' en WhatsApp siguiendo estos pasos: ir al apartado de Ajustes de WhatsApp, tocar en 'Cuenta' y seleccionar la opción 'Seguridad'. En esta pantalla se pueden habilitar las notificaciones de seguridad al seleccionar 'Mostrar notificaciones de seguridad', explican. Borrado inseguro de chats Asimismo, el organismo también califica de "inseguro" el borrado de conversaciones, uno de los fallos más comunes en las aplicaciones de mensajería. Este fallo ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, y vuelve a afectar a las versiones más recientes de WhatsApp. Como medida preventiva, el CCN indica que "la única forma de eliminar estas conversaciones de una forma más segura en nuestro teléfono será desinstalar la aplicación e instalarla de nuevo. Aunque se debe tener en cuenta que este proceso no eliminará las posibles copias de seguridad de nuestros datos que se hayan hecho en la nube", advierten. Difusión de información sensible durante la conexión inicial El informe también alerta de que se difunde información sensible —el sistema operativo del cliente, la versión de la aplicación en uso y el número de teléfono registrado— durante la conexión inicial, que puede quedar expuesta a cualquier atacante en el caso de usar redes wifi públicas o de dudosa procedencia. La "única solución a este problema de difusión de información sensible" es el uso de una conexión VPN, sostiene este organismo. Hurto de cuentas mediante SMS o llamada El CCN también avisa de la posibilidad de robar cuentas mediante SMS, llamada o acceso físico. El robo mediante SMS tiene que ver con el sistema de registro de la aplicación: un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal. De forma similar es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica. Por último, un posible descuido o pérdida del teléfono (a pesar de tener los mecanismos de bloqueo de pantalla y código de seguridad) "puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de una forma sencilla". Para el CCN, el problema de esta fórmula de ataque reside "en la dificultad para evitarlo, debido a que no existe una opción, tanto para Android como para iPhone, que fuerce al usuario a desbloquear el terminal para poder responder a una llamada, por lo que un atacante con acceso físico siempre podrá responder y completar el ataque. Riesgos al descargar en sitios no oficiales En esta línea, también advierte de los peligros de la descarga de WhatsApp en sitios no oficiales, que puede ser empleado por los ciberdelincuentes para cometer fraudes. Ataques de 'phishing' en WhatsApp web Esta extensión que permite usar WhatsApp desde cualquier dispositivo de sobremesa o portátil también encierra el riesgo de que un atacante pueda monitorizar un código QR de la web oficial, y cuando el usuario piense que se está suscribiendo a alguna promoción cebo, "estará autorizando el acceso web desde su sesión", alertan. Almacenamiento de la información en la base de datos WhatsApp utiliza SQLite para almacenar chats, ficheros y mensajes en la base de datos, por lo que si un atacante logra hacerse con este fichero podría acceder a todas las conversaciones y datos privados del usuario, advierte el CCN, aunque matiza que "en la actualidad este fichero se encuentra protegido contra este tipo de casos". Intercambio de datos entre WhatsApp y Facebook Otros de los riesgos que detecta el organismo dependiente del CNI se derivan del intercambio de datos personales con Facebook, una parte de la política de privacidad que la compañía modificó el pasado mes de agosto. Como consecuencia de ese cambio, WhatsApp transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para "actividades diversas". A pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, sí se intercambiará otra información como el número de teléfono del usuario, los contactos, la hora de última conexión así como los hábitos de uso de la aplicación. Otras recomendaciones En este contexto, el informe sobre los riesgos de WhatsApp incluye una serie de recomendaciones adicionales para que la información de los teléfonos móviles quede a salvo de posibles atacantes o programas dañinos. Entre estos consejos se encuentran mantener el teléfono bloqueado para reducir el riesgo si el teléfono cae en las manos equivocadas y tener cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten, especialmente cuando se trata de terminales Android. Además ve importante conocer los riesgos que implica realizar 'jailbreaking' o 'rooting' del terminal y recomienda desactivar la conectividad adicional del teléfono cuando no se vaya a utilizar, como podría ser la conexión WiFi o Bluetooth, ya que además de reducir el consumo de batería, reduce la posible superficie de ataque sobre el terminal.
Comentarios
Publicar un comentario