WhatsApp es un coladero: sus servidores permiten distribuir virus, contenido ilegal y datos robados con total impunidad

(Tomado de lainformacion.com)

  • Cualquiera puede alojar archivos sin control en los servidores del chat más popular del mundo.
  • Los ciberdelincuentes podrían aprovechar la falta de seguridad para distribuir virus, crear páginas falsas o compartir archivos ilegales. Y, lo peor, se irían de rositas.

WhatsApp pone un circo y le crecen los enanos. Por si fueran pocos los usuarios que se plantean cambiar de chat tras la polémica por el pago, dos investigadores españoles acaban de hacer público un nuevo fallo que deja al descubierto los enormes agujeros de seguridad del servicio de mensajería instantánea más utilizado del planeta.

Click!

Uno de ellos es Pablo San Emeterio, experto en seguridad de Optenet que ya el pasado noviembre dio a conocer una vulnerabilidad que permitía interceptar comunicaciones, espiar los mensajes de los usuarios, ver sus fotos y vídeos e incluso suplantar su identidad. La repercusión que tuvo su trabajo provocó que, más de un mes después, WhatsApp actualizase su aplicación y enmendase sus errores.

No fue suficiente. Juan Garrido, ingeniero de InnoTec/Entelgy, decidió sumar fuerzas con San Emeterio y, gracias a la aportación de este ‘hacker’ del sevillano barrio de Triana, han vuelto a sacar los colores a la multinacional estadounidense. Sus conclusiones, presentadas ayer durante la primera edición de las Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá de Henares (Ciberseg), son demoledoras. En palabras llanas, WhatsApp tiene abiertas de par en par las puertas de sus servidores y cualquiera puede entrar y salir sin pedir permiso ni dejar huellas.

“De manera anónima puedes utilizar la infraestructura de WhatsApp para subir lo que tú quieras y sin límite”, explican. Virus, páginas web falsas, archivos ilegales, documentos secretos… Lo que sea. Se puede hacer en cinco minutos desde cualquier ordenador, gratis, y sin necesidad de averiguar contraseñas, pasar noches en vela escribiendo código o utilizar complejas técnicas de ‘hacking’. Además, es prácticamente imposible cazar al delincuente. “Es tan sencillo hacerlo que nadie puede negarnos que se esté haciendo ya”, afirma Garrido.

Pablo San Emeterio y Juan Garrido en la Universidad de Alcalá de Henares  –Foto: David G. Ortiz

WhatsApp, una ‘nube’ negra

Cualquiera que haya utilizado alguna vez WhatsApp sabe que, además de mensajes de texto, es posible enviar archivos a nuestros contactos. Concretamente fotografías, vídeos, audios, tarjetas de contacto y coordenadas GPS. ¿Has probado alguna vez a enviar un documento de texto, un PDF o un archivo ejecutable? No se puede. Tampoco es posible enviar ficheros de más de 10 MB.

Pero estas son restricciones que se aplican del lado del cliente, en su dispositivo, y que no existen en los servidores donde se almacenan los archivos. Lo mismo sucede con el proceso por el cual se comprueban las credenciales (nombre de usuario y contraseña). Por tanto, lo único que se necesita para subir cualquier tipo de fichero a los servidores de WhatsApp de forma anónima es un sistema que permita comunicarse con la plataforma sin necesidad de utilizar la ‘app’, que es donde se encuentran todos los obstáculos.

Este sistema existe y más adelante explicaremos cómo funciona. De momento, quedémonos con que el servidor de WhatsApp permite subir archivos de cualquier tamaño y tipo (incluidos los ejecutables) desde un ordenador y sin identificarse. Si sumamos a esto que la plataforma no dispone de antivirus y que los contenidos se borran automáticamente en un plazo de 15 días, tenemos el caldo de cultivo perfecto para que al rey de chats le brote una infraestructura criminal en toda regla en su propia casa.

En la mente del atacante

San Emeterio y Garrido no se llevan un duro de esto, ni tienen una cruzada contra WhatsApp, ni pretenden dar pistas a los cibercriminales. Lo único que buscan al desvelar los fallos del servicio es que sus responsables los corrijan y, así, el usuario esté más protegido. Por eso tratan de adelantarse a los posibles usos delictivos que un ‘hacker’ sin escrúpulos podría encontrar.

En Ciberseg han ejemplificado unos cuantos. Por ejemplo, el público asistente, en su mayoría estudiantes de ingeniería, ha podido ver cómo un virus de lo más convencional (Citadel, incluido en la base de firmas de la gran mayoría de antivirus comerciales) se albergaba en los servidores de WhatsApp sin ningún impedimento y generaba una URL que el atacante podría usar para distribuirlo. Tres cuartos de lo mismo sucedería con contenidos ilegales, como por ejemplo una canción, un libro o una película con derechos de autor o, lo que es infinitamente peor, pornografía infantil.

 

En un segundo ejemplo, el hipotético cibercriminal alojaba en los servidores del chat una imitación de la web de una conocida entidad bancaria. Con la URL que se generaba, podía llevar a cabo la estafa conocida como ‘phising’: hacer creer al usuario que se trata de la auténtica página del banco para que introduzca su contraseña, robarla y acceder a su dinero.

Después, en un tercer ejemplo, exponían como la brecha de seguridad de WhatsApp podría facilitar enormemente el espionaje industrial. A día de hoy, el trabajador de una gran empresa tiene muy complicado robar documentos confidenciales sin ser descubierto. Si los imprimiese, los guardase en un pendrive o los enviase por correo, podrían pillarle. Sin embargo, sirviéndose de esta vulnerabilidad, podría trocear el archivo, subirlo a los servidores de WhatsApp y hacerlo pasar por una imagen que le ha enviado uno de sus contactos.

Todo esto es cuando menos inquietante, y eso que solo se trata de una pequeña muestra de los múltiples usos maliciosos que pueden pasar por la cabeza de un ciberdelincuente.

Con total impunidad

Lo que más preocupa, y lo que convierte a WhatsApp en un auténtico paraíso pirata, es que todos estos delitos podrían cometerse impunemente. Hasta ahora, cuando un cibercriminal quería distribuir un virus o llevar a cabo una estafa mediante ‘phising’, tenía que buscarse la vida para encontrar un servidor. Normalmente lo ‘hackeaba’, pero ya no es necesario. Puede utilizar una plataforma que no levanta grandes sospechas, de forma sencilla, gratuita y prácticamente sin riesgo. Al menos hasta que los responsables del chat decidan tomar cartas en el asunto.

Durante una investigación, lo máximo que las fuerzas de seguridad podrían averiguar, si es que WhatsApp accediera a proporcionárselo, sería la dirección IP desde la que se ha subido el archivo. Solo con eso, poco o nada se puede hacer para llegar hasta la identidad del atacante, que puede recurrir a infinidad de estrategias para camuflarse: utilizar proxys encadenados para que el archivo ‘pase’ por distintos países antes de llegar a su destino, conectarse desde redes públicas (por ejemplo, las de una universidad o una biblioteca), navegar de forma anónima mediante herramientas como Tor…

Además, como ya hemos indicado, todos los archivos que se almacenan en los servidores de WhatsApp se borran automáticamente a los 15 días. Los que comparte un usuario desde la ‘app’ en su móvil, los que se suben directamente desde un ordenador, los legales, los ilegales… Todos. En otras palabras, no solo es muy difícil encontrar al autor del delito sino que el propio chat se encarga de eliminar las pruebas.

¿Y cómo se suben archivos desde el ordenador?

Como decíamos, nada de esto podría hacerse desde la aplicación que un usuario convencional utiliza para conectarse a WhatsApp. Para evitar las restricciones, es necesario emplear otro sistema que se comunique directamente con el servidor. Pablo y Juan utilizan una API extraoficial conocida como Yowsup.

Una API es una librería de código (funciones, procedimientos, métodos) que una empresa pone a disposición de los programadores para que sus aplicaciones puedan comunicarse con la suya. Por ejemplo, la API de Facebook permite que haya un botón para compartir este artículo y la de Twitter hace posible que existan gestores de terceros como Echofon o Hootsuite.

Como los fundadores de WhatsApp decidieron no publicar su propia API, los ingenieros no podían crear aplicaciones capaces de interactuar con el chat y tuvieron que recurrir a la ingeniería inversa. Estudiaron el protocolo que seguía la ‘app’ para enviar y recibir mensajes y lo reprodujeron. Así nacieron Yowsup y WhatsAPI, las bibliotecas de código que San Emeterio y Garrido han utilizado en sus investigaciones.

Pueden arruinarte la vida

A lo mejor llegados a este punto, e incluso siendo consciente de la magnitud del problema, te preguntas en qué te afectan a ti, como usuario de WhatsApp, estás vulnerabilidades. ¿Por qué deberías preocuparte? Porque, sin demasiado esfuerzo, cualquiera te puede meter en un gigantesco aprieto.

Decíamos al principio de este reportaje que Pablo San Emeterio encontró en su día un sistema para espiar los mensajes que mandas y que te mandan, para ver tus fotos y tus vídeos e incluso para suplantar tu identidad y mantener conversaciones en tu nombre.

 

No obstante, también comentábamos que WhatsApp introdujo modificaciones para evitarlo. Concretamente cambiaron la forma en que se generan los nombres de usuario y contraseñas. Antes se formaban a partir de un identificador único (algo así como el DNI de los móviles): la dirección MAC en los dispositivos Apple o el código IMEI en los equipos con sistema operativo Android. Era lo único que un atacante necesitaba conocer además del número de teléfono de su víctima. Y era relativamente sencillo de conseguir.

Ahora es un poco más complicado. Cuando el usuario quiere conectarse al servidor, es WhatsApp quien le envía la contraseña. ¿Y ya no se puede acceder a ella? Eso parecía… Hasta que Juan Garrido descubrió que la clave quedaba registrada en una base de datos dentro del propio terminal. En iPhone ni siquiera está cifrada y en Android se podría descifrar. La única ventaja es que, en principio, si quieren espiarte o suplantarte necesitarán tener tu móvil en sus manos para poder leer el ‘password’.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s