Una tarde cualquiera, María está chateando con su amiga Cristina a través de WhatsApp. Le está contando lo bien que le va con su novio Juan y los planes que tienen para el finde, hasta que de repente el susodicho le abre una ventana de conversación. “María, ¿andas por ahí?”, pregunta. “Claro, amor, aquí ando. Te echo de menos”, contesta. “Tengo que hablarte de una cosa”, prosigue. “Es importante. Llevo tiempo dándole vueltas y te tengo que dejar. Hace unos meses que empecé a salir con tu amiga Cristina. No la culpes a ella, las cosas son así”.
Es sencillo imaginar lo que viene después. Discusiones, peleas... Y el pobre Juan tratando de explicar a su novia que todo ha sido un malentendido y que él no escribió esos mensajes. “Cariño, han debido 'hackearme' la cuenta”. Difícil de creer, pero cierto. Un informático español, Pablo San Emeterio, se ha encargado de demostrarlo.
San Emeterio, experto en seguridad del departamento de I+D deOptenet, empresa española de seguridad en internet para proveedores de servicios de telecomunicación en todo el mundo, ha desarrollado un sistema capaz de interceptar las comunicaciones de WhatsApp, leer los mensajes de un usuario, ver sus fotos y sus vídeos e incluso suplantar su identidad y usarla para ponerle en situaciones comprometidas o 'spamear' a sus contactos. No es un procedimiento que requiera pasar noches en vela escribiendo código. “No es complicado, cualquier persona desde su casa puede espiar a otra persona que está en la otra parte del mundo, si tiene los datos necesarios”, explica a lainformacion.com.
Pablo desveló su hallazgo el sábado 3 de noviembre en el No Con Name, el congreso de seguridad informática y 'hacking' más antiguo en España. Lo hizo de forma clara, sencilla y sirviéndose de cuatro vídeos de menos de tres minutos que ejemplifican los peligros que supondría una herramienta de estas características en manos de los cibercriminales.
En todos ellos se muestra de fondo el código que Pablo introduce en su ordenador para ejecutar el ataque. El terminal secuestrado es siempre el de la izquierda, un HTC con sistema operativo Android. El receptor de los mensajes, la otra víctima, es el iPhone de la derecha. Y las maldades que el hipotético 'hacker' comete van desde el clásico 'spam' hasta un bombardeo de mensajes de un hijo a su padre (“Papá, cómprame una moto” las veces que el atacante quiera), una suplantación de identidad parecida a la de Juan y María o un robo de información que incluye mensajes, fotos y vídeos.
Para llevar a cabo el ataque, el espía solo necesita dos cosas: el número de teléfono y el IMEI (Identidad Internacional de Equipo Móvil, por sus siglas en inglés), un código que identifica los terminales de forma única como lo hace el DNI con las personas. En iOS, el IMEI no es accesible y hasta hace poco se utilizaba la dirección Mac, un identificador único que se corresponde con la dirección física del dispositivo.
El espía, a la hora de acceder a WhatsApp desde el ordenador, necesita un par de usuario y contraseña, que se forma a partir de estas dos cifras. El número de teléfono corresponde al usuario y una variación encriptada del IMEI o la dirección Mac hace las veces de contraseña.
Obtener estas claves no es demasiado complicado, especialmente para las personas del entorno cercano de la víctima. El IMEI, algo más difícil que el número, pude obtenerse en cuestión de segundos si se tiene acceso al terminal, pero también se puede conseguir mediante el engaño o a través de aplicaciones maliciosas que lo soliciten. “En Android hay muchas que tienen acceso al IMEI, incluso legales y legítimas”, afirma San Emeterio. Apple lo tiene un poco más escondido, pero aún así un cibercriminal entrenado encuentra los medios para llegar hasta él.
Los secretos del espía
Y diréis: vale, tiene el usuario y la contraseña, pero WhatsApp no pide nada de eso. ¿Cómo hace para colarse? Ahí está la clave, pero hay que remontarse a la política para desarrolladores de la compañía para entenderlo. El rey de los chats no cuenta con una API pública. La API es el mecanismo que permite a los programadores comunicarse con la aplicación a través del ordenador. Por ejemplo, la API de Facebook permite que alguien haya diseñado un botón para que este artículo pueda ser compartido y la de Twitter hace posible que surjan gestores de terceros como Hootsuite o Tweetdeck.
Sin una API, los ingenieros no podían crear aplicaciones capaces de interactuar con WhatsApp, así que decidieron hacerla ellos mismos utilizando ingeniería inversa. Estudiaron el protocolo que seguía la 'app' para enviar y recibir los mensajes y lo reprodujeron. Así nació WhatsAPI, la biblioteca de código que San Emeterio ha utilizado para desarrollar su espía. Como cabía esperar, WhatsApp desplegó su ejército de abogados en cuanto supo de su existencia. Pero ya era tarde.
Gracias a esta API extraoficial, Pablo ha entendido el funcionamiento del chat y ha sido capaz de localizar sus agujeros. En primer lugar, Juan manda el mensaje a María y recibe acto seguido la confirmación de que ese mensaje ha llegado al servidor de WhatsApp (primer 'check'). Después María recibe una notificación en su móvil y su terminal confirma al servidor que el mensaje ha sido recibido (doble 'check'). Finalmente, cuando María abre la conversación, el móvil descarga los mensajes y envía una orden al servidor para que los elimine.
El espía de San Emeterio imita estos pasos, pero se salta la segunda confirmación (el doble 'check') y la orden de borrado. De ese modo, ni el auténtico emisor ni el receptor se dan cuenta de lo que está sucediendo. O no deberían, porque el sistema que ha desarrollado este español está aún en sus primeras fases (es lo que se denomina una 'prueba de concepto') y necesita una mayor elaboración para pasar totalmente desapercibido. “Depende de cuál sea el teléfono se podría llegar a dar cuenta, pero con un poco más de tiempo se podría arreglar”, nos cuenta.
¿Quién nos protege?
La intención de San Emeterio no es otra que dejar en evidencia las vulnerabilidades de WhatsApp, la aplicación de mensajería instantánea más popular del mundo, y proteger a sus numerosísimos fieles. Para ello, en lugar de intentar lucrarse de forma ilegal, ha compartido desinteresadamente su procedimiento en el blog especializado Security By Default y ha tratado de comunicarse con WhatsApp a través de la gente de INTECO, el Instituto Nacional de Tecnologías de Comunicación. La empresa no se ha mostrado dispuesta a cooperar.
Y realmente, hoy por hoy, “hasta que WhatsApp haga algo”, Pablo admite que no se puede hacer gran cosa para evitar un ataque de estas características. “Puedes ver que pasa algo raro, que alguien se está conectando o que no te llega algún mensajillo”, pero un buen espía tiene trucos suficientes para no dejar huella.
Un primer paso hacia la solución, según nuestro experto, sería que WhatsApp emplease un password configurable, como lo hacen las principales redes sociales y los servicios de correo electrónico. “Tampoco eso va a ser la panacea, porque después la gente pone passwords 1234 o cosas así, pero al menos es más complicado”, explica. Y termina con algunos consejos de autodefensa: no enviar contraseñas ni claves bancarias a través de WhatsApp, tener cuidado con lo que se escribe y abstenerse de compartir imágenes o vídeos comprometidos.
Otra opción, algo más drástica, es cambiar de servicio. A primera vista, afirma Pablo, el cada vez más conocido Line o el español Spotbros demuestran un mayor compromiso con la seguridad.
No hay comentarios:
Publicar un comentario