Lo que Whatsapp necesita aprender sobre el spam del resto de la industria

Lo que Whatsapp necesita aprender sobre el spam del resto de la industria

9 comentarios Facebook Twitter Flipboard E-mail
Lo que Whatsapp necesita aprender sobre el spam del resto de la industria

Las infecciones de la red se las apañan para saltar de especie en especie. La pandemia del spam, que nació y se expandió con y por medio del correo electrónico, saltaría a la mensajería instantánea cuando ésta se limitaba a aplicaciones o webs para ordenador, e hizo lo mismo cuando ésta se estableció en los teléfonos móviles.

WhatsApp, la app de mensajería por antonomasia, ha sido una excelente placa petri para que el SPAM germine cual microorganismo convirtiéndose en un problema infecto para usuarios y desarrolladores. A medida que este problema se agravaba la app se ha ido actualizando tanto en términos de uso como en soporte, pero, ¿está preparada para el spam actual?

Desgranando los términos de uso

Como palgo que sucede habitualmente tanto en las redes sociales como en mensajería, los desarrolladores hacen referencia al spam los términos y condiciones de uso (en adelante en este artículo, TOS), aunque sin explayarse o contemplar este asunto en detalle. En el tercer apartado de los TOS, que abarca el acceso a la aplicación y temas derivados, es donde se hace referencia por fin al spam.

Aceptando las condiciones, el usuario se compromete a no usar sistemas de envío de mensajes automatizados y todos aquellos mecanismos que, literalmente, sobrepasen lo humanamente posible en cuanto a frecuencia de envíos:

“(El usuario) Acepta no poner en marcha ningún sistema (de envío de mensajes) automático, (...) incluyendo los que vulneran la limitación de enviar a los servidores de WhatsApp más mensajes en un periodo de tiempo de los que un ser humano podría hacer.”

Para tratar específicamente el asunto del SPAM, WhatsApp aclara primero las condiciones que impone al uso de los softwares que permiten tanto ésta como otras conductas no deseadas, si bien recordamos que estos TOS llevan sin actualizarse desde julio de 2012 y que obviamente no se hará referencia a programas y sistemas que hayan salido posteriomente.

Así, se prohíbe de manera directa el uso de fiddlers y whiskers, programas que permiten obtener registros de tráfico HTTP y HTTPS entre otras cosas, sin embargo con los sniffers, programas que recogen la información enviada a los periféricos, no están prohibidos per se, sino que se centran en los intentos de modificar los protocolos o las peticiones que excedan los límites permitidos a los clientes de WhatsApp. Textualmente se añade con respecto a esto:

“(El usuario) acepta no recopilar ningún tipo de información relativa a la identidad, incluyendo el número de teléfono, del Servicio, ni usar el sistema de comunicación que proporciona el Servicio para cualquier uso comercial o spam. (El usuario) Acepta no realizar spam, o iniciar tácticas comerciales.”
Un vistazo a…
WHATSAPP Trucos y consejos para OCULTARTE AL MÁXIMO y mantener tu PRIVACIDAD

Spam por WhatsApp y sobre WhatsApp

Este tema se trata de manera directa en el mismo blog de WhatsApp, en el cual hacen referencia a varios casos de spam en la sección de preguntas frecuentes aconsejando y despejando dudas de cómo ellos mismos suelen comunicarse, debido a que a veces los mensajes fraudulentos son a la vez una suplantación del feedback recibido por el usuario del propio servicio.

Así, aclaran que ellos nunca se comunican por mediante la propia app, sino por correo, y hacen referencia a mensajes no deseados donde encuadran SPAM, bulos o hoax y phishing, y quizás nos suene alguna de las situaciones que citan (o sus equivalentes en español) para identificar estos mensajes falsos:

  • El mensaje proviene de un miembro del equipo de WhatsApp y/o advierte de pagos o premios relacionados con suscripciones al servicio.
  • Suele haber instrucciones a seguir, como responder a algún número o visitar un enlace.
  • A veces son falsas amenazas en relación a parar el servicio al usuario a solucionar por uno de los sistemas que mencionamos en el anterior ejemplo.
  • Este tipo de mensajes son los que entrañan más peligro al advertir de supuestos pagos o premios relacionados con suscripciones al servicio, incitando al usuario a hacer click en un enlace que puede conducir a un software malicioso o a llamar algún número de teléfono de alto coste.

    Es por esto que insisten en que la empresa se comunica con el usuario exclusivamente por email, dejando claro que además sólo utilizan este sistema cuando es el usuario quien inicia la comunicación, dado que este tipo de estafa también utiliza el mail como método de diseminación.

    La cronología de la pseudo-seguridad

    La trampa que sale hecha la ley a veces aparece como un resorte siguiendo el principio de acción-reacción, y no pasó mucho tiempo desde el boom de WhatsApp tras su lanzamiento hasta la aparición de los primeros intentos de spam y otras maniobras similares. Sus precursores, los SMS, ya funcionaban como vehículo, y esto prometía. ¿Cómo fue posible el spam? Hemos hablado con Yago Jesús, de la web SecurityByDefault, donde hemos podido descubrir los entresijos de esta táctica y nos ha explicado la situación actual del problema.

    Por las vulnerabilidades que la aplicación tenía por defecto y que a duras penas ha ido reparando sin que llegue a ser suficiente. A fecha de septiembre de 2012, seguía siendo posible suplantar la identidad del usuario con sólo conocer la MAC del móvil, de modo que el suplantador podría enviar mensajes en su nombre así como recibirlos. Algo que abre la puerta a tácticas de spam, inundación (o flooding) e incluso espionaje mediante WhatsApp, pudiendo guardar fotos y vídeos de la víctima.

    Las mejoras de WhatsApp a nivel de seguridad han sido progresivas y en estos momentos han alcanzado un nivel bastante más aceptable que el de hace unos años, sin embargo lo que destaca es que esta evolución, a parte de lenta, ha sido en bastantes ocasiones forzada tras la muestra reiterada por parte de usuarios entendidos de las vulnerabilidades. Incluso rechazaron la normativa de seguridad y de privacidad de datos establecidas por la UE en febrero de 2014.

    Habemus botón de bloqueo

    No ha sido hasta abril de este mismo año cuando WhatsApp ha introducido la posibilidad de que el usuario bloquee de manera directa a un spammer, algo que es posible cuando se trata de un remitente desconocido, para lo cual implementó la opción con un botón específico que sale cuando el remitente es desconocido desde la propia app.

    De esta manera ya podemos parar el spam en origen de una manera personal, aunque el propio servidor de la app también lo hará en el momento que se detecte un envío que sobrepase cierta frecuencia en un determinado tiempo, como explicábamos al inicio al desgranar los TOS de la aplicación, y que ya han podido comprobar los usuarios desde que se puso en marcha. ¿Queda entonces solucionado el problema del SPAM y los accesos no autorizados? Para nada.

    Las cosas de WhatsApp van despacio

    Actualmente sigue habiendo maneras de emular el protocolo empleado por WhatsApp de modo que pueden emplearse para el establecimiento de un sistema automático que envíe mensajes de forma reiterada y con una frecuencia muy alta. Al contrario de lo que pueda parecer, es algo que los desarrolladores de la app han tratado de frenar, como hicieron con WhatsAPI, la API alternativa que facilitaba la creación de clientes de escritorio de WhatsApp, aplicaciones web y otros softwares más, contra cuyos creadores emprendieron acciones legales.

    El envío masivo de mensajes está al alcance de cualquiera que tenga conocimientos básicos de programación, y ya ni siquiera eso

    Sin embargo, el envío masivo de mensajes está al alcance de cualquiera que tenga conocimientos básicos de programación, ya que existen librerías alternativas a WhatsAPI, y ya ni siquiera eso, ya que se han desarrollado apps para Android (que funcionan siendo root) con el propósito específica de realizar envíos masivos, como WhatsApp Spammer, que llegó a estar un tiempo disponible en Google Play y finalmente fue retirada tanto la versión con publicidad como la pro. Actualmente las apk están disponibles para cualquier usuario a tiro de Google.

    Junto con estas aplicaciones está el hecho de que sea fácil obtener el total de números de teléfonos de España dado que son públicos. De este modo, el spam sigue siendo una posibilidad y algo de actualidad, con casos tan sonados como el de “perfumes24horas”, cuyo spam pasó del SMS al WhatsApp. Aunque lo preocupante es cuando la intención va mucho más allá de publicitarse hasta el hastío y el spammer pretende introducir un software espía o un enlace a un malware, algo que es más fácil en iPhones con jailbreak y en dispositivos Android.

    Un problema a escala global

    Este mismo año se ha publicado un estudio en referencia al estado actual del spam en WhatsApp, en el cual se observaba que el país más afectado a nivel mundial es India, a lo cual, aunque parezca sorprendente, ha ayudado la normativa del propio país. Las nuevas medidas que la TRAI (Telecom Regulatory Authority of India), la agencia encargada de la nueva política de privacidad del país, imponía a "todo proveedor de servicios móviles" con el "Do Not Disturb registry" (DND) redujeron el spam por SMS en un 99%, pero a consecuencia de ello los spammers migraron a WhatsApp, ya que a éste no le afectan dichas limitaciones.

    Spam por WhatsApp en iOS

    El método más habitual para llevarlo a cabo es el registro mediante números VoIP, los cuales sirven perfectamente para crear cuentas en WhatsApp y usar la app. Otra costumbre importada de los spammeos previos con SMS, de hecho.

    El problema base sigue siendo que las acciones restrictivas son a posteriori, tanto por parte del usuario como de la app, y que los bots de spam logran actuar evadiendo las limitaciones con respecto a la frecuencia de envío de mensajes al menos durante un tiempo.

    ¿Y la competencia? Las acciones a posteriori

    Gráfico de apps de mensajería por país

    Vemos pues que la presencia del SPAM parte de una carencia estructural, de una falta de seguridad en los procedimientos de la app, y que pese a las mejoras relativas a la autenticación y encriptación, no llega a ser del todo una solución preventiva, sino paliativa, con la necesidad de la participación del propio usuario con el bloqueo puntual y directo.

    Otras aplicaciones de mensajería se encuentran más o menos en el mismo plano, reflejando su prohibición ante el SPAM y otras prácticas similares (a veces se distingue entre SPIM y SPAM, para mensajería instantánea y correo electrónico respectivamente) en los TOS y ofreciendo la posibilidad de bloquear a los remitentes desconocidos y nos hagan llegar estos mensajes.

    En el caso de LINE, los TOS tienen una revisión algo más reciente que los de WhatsApp (1 de abril de 2013), si bien son equivalentes en cuanto a las prohibiciones aunque entran más en detalle (puntos del 12.4 al 12.8) y también explican que el servicio podrá tomar medidas si el usuario viola los TOS, sin hacerse “responsable de corregir o de prevenir dichas conductas del usuario a otros usuarios”.

    Opciones de bloqueo en LINE

    En (Facebook) Messenger también actúa el usuario tras recibir la amenaza, pudiendo denunciar la conversación, aunque en la ayuda a nivel de toda la red social se argumenta que se han creado herramientas para la prevención y eleminación del SPAM (eliminación de enlaces sospechosos, antivirus, etc.). En la práctica, cualquier usuario de la app puede comunicarse con nosotros, por lo que sigue siendo un apaño a posteriori.

    Bloqueo de SPAM en Facebook Messenger

    En el caso de Viber, su creador afirmó que tiene una de las políticas de privacidad más fuertes de la industria. En sus TOS especifican el usuario no debe enviar “comunicaciones no solicitadas” citando el SPAM, SPIM y SPIT como ejemplos. El recurso que la plataforma ofrece al usuario es también la opción de bloquear tras recibir el mensaje no deseado, así como denunciar el remitente a la plataforma rellenando un parte.

    El azote a iMessage

    Como comentábamos en el caso de WhatsApp, el hecho de que la plataforma incluya a ordenadores facilita a los spammers la tarea. En este caso se trataría de añadir un script muy sencillo para Mac OS que activase el envío de mensajes a todos los dispositivos Apple lo más rápido posible. Los contactos están al acceso del spammer, quien puede aprovechar también la información acerca de qué contactos usan iMessage y cuándo son leídos los textos. Tras un aumento del spam, la compañía incorporó métodos de bloqueo por frecuencia de mensajeo, así como la medida paliativa de la denuncia por parte del usuario en el caso de que aún así lo reciba.

    Telegram: vino, vio y aguantó

    Algunas de las carencias de WhatsApp, de ésas que nunca llegaban y que solían ser las más demandadas entre unos usuarios algo más exigentes, llegaron de golpe subidas a un avión de papel hasta todos nuestros dispositivos (en algunas plataformas de manera más progresiva) proveniente de Rusia. Telegram jugó, entre otras, la carta de la encriptación y la seguridad, algo que se encarga de explicar con detalle en sus FAQs avanzadas.

    Telegram Seguridad

    A modo de ejemplo, podemos ver que, con respecto a la creación del password que veíamos en WhatsApp, el proceso es bastante distinto en el caso de Telegram, siendo más complejo. El servicio de mensajería funciona con el protocolo de encriptación MTProto, atajando de base uno de los principales problemas que arrastraba WhatsApp sin acabar de solucionar del todo, y siendo además multidispositivo, algo que como hemos visto facilita las incursiones como el SPAM.

    BlackBerry Messenger

    Una app que ha logrado despuntar y llegar a muchos usuarios más allá de su plataforma, la cual se encuentra en un estado de lucha continua por permanecer como opción ante las tres principales para aquellos usuarios que sigue suponiendo la mejor opción. En este caso los desarrolladores hicieron leña del manzano caído y aprovecharon el serio problema que tuvo iMessage de Apple para promocionar sus medidas ante los ataques de SPAM.

    Los canadienses explican con una mezcla entre comparación y ataque que en BBM los usuarios tienen un mayor control de con quién se comunica porque ambos han de ser contactos el uno del otro. Afirman, de hecho, que no hay spam en este servicio gracias a ello, y que en “el raro caso” que se diese, está a disposición del usuario la opción de bloquearlo.

    A diferencia de WhatsApp, afirman que la información del usuario sí está convenientemente encriptada de modo que queda protegida ante ataques y espionajes. Además, el servicio funciona mediante un PIN exclusivo para cada usuario, independientemente de en qué dispositivo se use (y aprovechando aquí para hacer otro guiño a Apple y a la exclusividad de su servicio de mensajería).

    Más vale prevenir que curar

    Como ocurre con los virus y las vacunas, la profilaxis es la base para frenar esta amenaza (porque hablar de erradicación con el spam es demasiado utópico). WhatsApp ha reforzado la prevención con respecto a sus inicios y los procesos de autenticación y encriptación son mejores en la actualidad, pero no deja de haber sido una estrategia a base de errores graves y mejoras forzadas en gran parte gracias a terceros que se han encargado de demostrar una y otra vez la existencia de vulnerabilidades.

    WhatsApp ha reforzado la prevención con respecto a sus inicios, pero no deja de haber sido una estrategia a base de errores graves y mejoras forzadas en gran parte gracias a terceros

    Es donde entra también la adición de un botón de bloqueo. Es la parte que le toca al usuario, una medida que WhatsApp incorporó hace relativamente poco y de manera parcial. Si un usuario de nuestra agenda muta a bot, algo que no es tan improbable (sobre todo en el caso del marketing a través de los mensajes de difusión), seguimos sin poder bloquearlo.

    En otras apps esto sí es posible, como en el caso de Telegram, aunque este servicio tampoco es el Edén sin spam y, pese a tener una genética más restrictiva, el hecho de habilitar la posibilidad de buscar y comunicarse mediante el nombre de usuario abrió la puerta a que se produjese un efecto similar. Si bien, aunque a efectos prácticos sería lo mismo, se trataría muchas veces de algo tan humano como el aburrimiento y el acoso y no el bombardeo de un robot.

    Gráfico | Microsiervos
    En Xataka On | Si envías más de 1.000 mensajes por segundo con WhatsApp te quedas sin servicio y sin dedos

    Comentarios cerrados
    Inicio