WhatsApp dice más de ti de lo que crees: así puede un atacante descubrir a qué hora te despiertas, dónde estás o desde qué dispositivo escribes con la app de mensajería

WhatsApp es, de manera incontestable, la app de chats más conocida y usada del mundo. Su cifra de usuarios mensuales activos supera holgadamente los 2.000 millones. Pero hay una máxima de la ciberseguridad que también es incontestable. A más superficie, más margen para atacar.

Aunque su uso es limitado —la mayor parte de su comunidad se centra en el intercambio de mensajes, audios, contenido multimedia— y el método más común para agregar a amigos es conocer primero su número de teléfono, lo cierto es que la aplicación que compró Meta (entonces Facebook) en 2014 por 1.900 millones de dólares es capaz de decir de ti mucho más de lo que piensas.

Así lo demostró Chema Alonso, Chief Digital Officer (CDO) de Telefónica y ante todo hacker. El experto en ciberseguridad volvió a subirse a unas tablas de un evento, en esta ocasión de la Osintomático Conference que tuvo lugar en Madrid en mayo.

El CNI certifica el fin del hacktivismo como fenómeno "idealista", pero alerta de que será aprovechado para lanzar ataques de falsa bandera durante ciberguerras

La Osintomático Conference ha sido el primer evento especializado en la inteligencia de fuentes abiertas (OSINT) que se celebra en Madrid. Por eso, y por no tratarse de una especialidad inherentemente técnica como lo son otros campos de la seguridad informática, Alonso aterrizó varios de los trucos que ya había publicado en su propia web para recabar información mediante WhatsApp.

Buena parte de lo que el propio Alonso demostró en la Osintomático no requiere ni de sofisticadas inyecciones de código en remoto, ni el desarrollo de códigos maliciosos tan sofisticados como un ransomware. Solo requiere algo en lo que los expertos en OSINT son bien duchos: ingeniería social.

OSINT o inteligencia de fuentes abiertas es un conjunto de herramientas y metodologías que poco a poco se va transformando en una disciplina más de la investigación privada y de la ciberseguridad, en la que expertos son capaces de reunir toda la información posible sobre un objetivo con diversos fines.

La brecha del 'log in'

Alonso recordó ante el auditorio una práctica muy extendida entre especialistas en OSINT. Sonriendo, preguntó a sus oyentes quién tenía todavía tarjetas de visita y quién las entregaba —el que escribe estas líneas procuró no levantar la mano—. De esta manera, el hacker, que dijo no aceptar más tarjetas porque no necesita "boquillas para cigarros", ideó uno de sus 'juguetes'.

Se trata de un sistema de visión artificial capaz de recabar en tiempo real los datos que figuren en esa tarjeta —nombre, dirección de correo electrónico, empresa, oficina, dirección postal, números de teléfono—. Con toda esa información recopilada en cuestión de segundos, un investigador podría extraer en cuestión de horas un pormenorizado perfil digital de la persona en cuestión.

¿Cómo? Aprovechándose de una vulnerabilidad muy extendida en los servicios de inicio de sesión de diversas plataformas. En multitud de servicios, a la hora de intentar iniciar sesión con el correo electrónico de un tercero, puedes recibir dos mensajes. O bien esa cuenta de correo no existe en el servicio, y por lo tanto te lo indica así y te rechaza entrar.

La mitad de los negocios de 166 oligarcas rusos, ilesos ante las sanciones de Occidente: una experta en ciberinteligencia comparte las claves para mejorar su eficacia

O bien te dice que te has equivocado de contraseña. Con esa información implícita, ya sabes que el usuario en cuestión tiene una cuenta en esa plataforma, aunque no tengas esa contraseña. Te podrás imaginar qué se puede hacer con información así de sensible: con este método puedes descubrir incluso quién tiene cuentas en páginas web especializadas en infidelidades.

Este leak, como lo bautizó Alonso, se está corrigiendo en multitud de plataformas. Pero en muchas sigue pudiéndose explotar. Mismamente en WhatsApp, hasta hace no tanto, era posible dejar a una persona sin servicio, con la cuenta bloqueada, con un sencillísimo ataque de denegación de servicios que descubrieron dos jóvenes hackers españoles.

Tu ubicación y tus conexiones en WhatsApp, a la vista de todos

En WhatsApp existe la funcionalidad para compartir ubicación con un contacto, lo cual puede ser útil en caso de que hayas quedado con una persona o simplemente quieras comprobar que tu amigo o amiga está llegando a casa sana y salva.

Sin embargo, los atacantes tienen medios para descubrir tu ubicación sin que necesariamente la compartas. El propio Chema Alonso lo explicaba en su blog, en dos artículos (este y este) que resumidos muy someramente, se pueden explicar así: alguien logra 'camuflar' con un link falso a —por ejemplo, Spotify— que en su lugar dirige a una dirección controlada por el propio atacante.

De este modo, el atacante podrá comprobar en su dominio quién ha accedido y ha hecho peticiones en su servidor, con lo cual podrá descubrir su dirección IP y, por consiguiente, trazar su geolocalización aproximada.

En general, y a juicio del CDO de Telefónica, WhatsApp tiene una serie de decisiones en materia de privacidad que son, como poco, cuestionables. Una, por ejemplo, es que el nombre con el que te registres en la aplicación es accesible para todo el mundo que conozca tu número o comparta grupo. Ese nombre, eso sí, es lo que escribas: si no pones tus apellidos, preservarás mejor tu privacidad.

Otra es el hecho de que compartir si estás conectado o no a la aplicación "con todo el mundo" sea siquiera una opción. La app permite configurar si compartes si estás en línea o no con tus contactos, con nadie o con todo el mundo. A juicio de Alonso, esta última opción carece de ningún tipo de sentido.

"Es una característica que WhatsApp adopta para mejorar el engagement de sus usuarios pero que va en contra de la privacidad: así puedes saber incluso cuándo alguien se levanta de la cama".

"Que en Twitter hay más de un 5% de cuentas falsas es algo que todos sabemos": el experto que detalló desde dentro la industria de las 'fake news', sobre la guerra de Elon Musk

Y permite que a aquellos con tiempo e ingenio ser capaces de trazar hasta cuántas veces te conectas a la plataforma sin que seas consciente de ello. Lo demostró el propio Alonso enseñando un desarrollo que hizo su equipo de Ideas Locas —un singular departamento que Chema Alonso dirige en Telefónica— con el que demostraron la posibilidad de que existieran 'gusanos' en la app.

Con un plugin de navegador que emula una cuenta iniciada sesión en WhatsApp Web el equipo de Ideas Locas desarrolló WannaSAPP y WannaGRAM, dos pruebas de concepto de que gusanos —malware que se va contagiando de terminal en terminal, de cuenta en cuenta— son capaces de robar y secuestrar de forma autónoma cuentas de la plataforma.

Con esa misma interfaz, Alonso señaló cómo era posible registrar de forma automatizada todas las veces que un usuario se conectaba y, por lo tanto, estaba abriendo WhatsApp en su dispositivo. Algo que ya explicó previamente en otra conferencia y que también compartió en su blog.

Con todo, muchos de los trucos que Alonso compartió en la Osintomático Conference no requería de conocimientos avanzados en tecnología. A veces, el simple corrector de tu teclado en el móvil puede delatarte. Si tu corrector automáticamente pone la primera letra de tu mensaje en mayúsculas, el remitente podrá intuir que estás escribiendo desde el móvil, y no desde un ordenador.