Todos sabemos ya que Whatsapp se ha convertido en un estándar en lo que a mensajería y chat se refiere, aunque muchos seguimos sin explicarnos muy bien por qué. El desconocedor busca “móviles que tengan Whatsapp”, y mires donde mires, hay gente usando este servicio de mensajería.
Pero este servicio no gratuito (cuesta 0.75 para iPhone, y gratis sólo el primer año para otras plataformas), ha estado siempre envuelto en polémicas acerca de la falta de seguridad del servicio, y aunque desde Whatsapp publicitan las mejoras en seguridad, lo cierto es que nada ha cambiado, y Whatsapp sigue siendo un enorme agujero por el que alguien con mala fe puede colarse en tu vida.
Cómo hemos llegado hasta aquí
Whatsapp no es ni seguro, ni tecnológicamente avanzado, ni siquiera es nuevo. Whatsapp no es más que el típico ejemplo de estar en el lugar adecuado en el momento adecuado. Whatsapp llegó como aplicación en un momento en que el gran público empezó a conocer los smartphones gracias al iPhone, y vieron cómo Whatsapp les ahorraba el coste de los mensajes SMS y los MMS.
El desconocimiento de muchos de esos usuarios de otros servicios de mensajería, así como la no existencia de aplicaciones optimizadas para hacer uso de estos servicios, encumbró Whatsapp en la plataforma iOS y, como consecuencia, nació el interés del público Android por disponer del servicio en su plataforma. Whatsapp decidió adentrarse en Android, y el resto ya es historia: Whatsapp puede ya considerarse el estándar de facto en mensajería móvil, y si no “guasapeas” estás incomunicado.
Los más viejos del lugar recordarán aquellos tiempos en los que ICQ cortaba el bacalao en mensajería instantánea con más de cincuenta millones de usuarios. Los grandes del momento vieron la oportunidad, y todos lanzaron sus propuestas: Microsoft lanzó su MSN Messenger, y Yahoo! hizo lo propio, al tiempo que surgían otras propuestas más humildes como Jabber.
De todos ellos, sólo Jabber hizo público su protocolo, XMPP (Extensible Messaging and Presence Protocol), protocolo que se ha convertido en el estándar RFC3920 y RFC3921. XMPP ha servido para múltiples implementaciones de clientes de mensajería y otros servicios de todo tipo, incluyendo Google Talk, el chat de Facebook, o el de Tuenti.
Whatsapp hace uso de este mismo protocolo, aunque ligeramente modificado, para ofrecer su servicio. Si XMPP es un protocolo estandarizado, ampliamente aceptado y probado,
¿Dónde está el problema?
Como siempre, el problema no está en qué usas, sino en cómo lo usas, y Whatsapp es un gran ejemplo de lo que no se debe hacer en redes inalámbricas. Seguramente te preguntarás en qué te incumbe a ti, y que quién te va a andar espiando, si sólo lo usas para quedar con los amigos, o charlar banalidades. Quizá nunca te pase nada por usar Whatsapp, y seguramente sea lo más probable, pero no está de más que sepas lo que se cuece en tu teléfono si lo usas.
Las últimas versiones de Whatsapp hacen uso de lo que ellos mismos llaman “mejoras de seguridad comercialmente razonables”. Estas mejoras incluyen el encriptado de los datos enviados y recibidos, haciendo uso de un estándar que data de 1984, aunque da igual el método que hubieran utilizado.
Y da igual porque Whatsapp utiliza el inicio de sesión para establecer la clave de encriptado, y esta clave se transmite en forma de texto plano entre la aplicación y el servicio, lo que viene a ser como dejar la bicicleta encadenada a una farola, con un post-it con la combinación pegado en el candado.
Pero el auténtico problema de seguridad en Whatsapp no está en la falsa encriptación que utiliza. El gran fallo está en cómo te identificas en Whatsapp, y en lo fácil que es para alguien con interés conectarse en tu nombre: sólo hace falta que el interesado conozca tu número de teléfono, y tu IMEI en el caso de Android, o tu dirección MAC en el caso de iPhone.
Estos datos son fáciles de conseguir, sobre todo si tienes acceso físico al terminal. En el caso de iOS, para saber tu MAC basta con que estés conectado a la misma red Wifi que tu atacante, y en el caso de Android, basta que tengas una versión de Android que presente vulnerabilidades no resueltas, aunque en ninguno de ambos casos es la única manera.
Con sólo estos datos, un atacante podría acceder a tu cuenta de Whatsapp y hacerse pasar por ti usando cualquier interfaz compatible, ya que tu cuenta de Whatsapp usa el formato [número de teléfono]@whatsapp.com para identificar al usuario. Así de fácil.
Así que ya lo sabes: si te da igual que cualquiera con unos mínimos conocimientos pueda ver lo que escribes (o te escriben) en Whatsapp, o alguien con menos conocimientos aún pueda hacerse pasar por ti, y mandar mensajes a tus jefes, o a tu novia, o a tus padres, o a tus hijos, puedes seguir usando Whatsapp tranquilamente. Si no, deberías ir buscando alternativas más seguras como ICQ o GroupMe, aunque no son las únicas.
Ver 72 comentarios