martes

Riesgos del Uso de WhatsApp

“La compartición de información personal sensible que se produce a diario en WhatsApp, junto con la escasa percepción de riesgo que los usuarios tienen con la seguridad de la información vinculada a los dispositivos móviles, ha convertido a esta plataforma en un entorno atractivo para intrusos y ciberatacantes, señala el CCN (más concretamente, el CCN-CERT), y enumera los siguientes riesgos: 

1. EL DELICADO PROCESO DE ALTA Según este organismo, “la carencia más importante de la plataforma hasta el momento ha residido en la seguridad en el proceso de alta y verificación de los usuarios. Las características del proceso de registro propician que un intruso pudiera hacerse con la cuenta de usuario de WhatsApp de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”. 

2. SECUESTRO DE CUENTAS APROVECHANDO FALLOS DE LA RED “Hace unos meses, la firma Positive Technologies hizo público un vídeo3 mostrando cómo secuestrar cuentas, tanto de WhatsApp como de otras aplicaciones como Telegram, utilizando fallos conocidos en el protocolo de telecomunicaciones SS74”. Y explica: “Aprovechando estos fallos de seguridad conocidos y aún sin resolver, el ataque se realiza de forma sencilla, haciendo creer a la red telefónica que el teléfono del atacante tiene el mismo número que la víctima. De esta forma se consigue recibir un código de verificación de WhatsApp válido, teniendo acceso completo a la cuenta de la víctima, independientemente del cifrado incluido en las comunicaciones”. Como solución, el CCN-CERT recomienda: Abrir WhatsApp y presionar sobre Ajustes. Tocar en Cuenta y seleccionar Seguridad. En esta pantalla se pueden habilitar las notificaciones de seguridad cuando se selecciona Mostrar notificaciones de seguridad 

3. BORRADO INSEGURO DE CONVERSACIONES “Este fallo, que ya se utilizaba en versiones anteriores de la aplicación para obtener los registros de las conversaciones utilizando técnicas forenses, vuelve a afectar a las versiones más recientes de WhatsApp”, asegura el CCN-CERT. Y continúa: “Además, hay que tener en cuenta las implicaciones cuando se tenga activa la opción de copia de seguridad (disponible a través de iCloud o Google Drive), ya que esta información también será respaldada de forma automática, almacenando una posible conversación ya borrada, y que podría ser recuperada en un futuro”. La única forma de eliminar estas conversaciones de una forma segura es desinstalar y volver a instalar la aplicación. “Aunque se debe tener en cuenta que este proceso no eliminará las posibles copias de seguridad de nuestros datos que se hayan hecho en la nube·, advierten. 

4. DIFUSIÓN DE INFORMACIÓN SENSIBLE DURANTE LA CONEXIÓN INICIAL “Durante el establecimiento de conexión con los servidores de la aplicación WhatsApp intercambia en texto claro información sensible acerca del usuario, como el sistema operativo del cliente, la versión de la aplicación en uso o el número de teléfono registrado. Esta información puede quedar expuesta a cualquier atacante en el caso de utilizar redes Wi-Fi públicas o de dudosa procedencia”. La única solución a este problema de difusión de información sensible”, explica, “será el uso de una conexión VPN”. 

5. ROBO DE CUENTAS MEDIANTE SMS Y ACCESO FÍSICO ¿Sabía que “un posible descuido o pérdida del teléfono (a pesar de tener los mecanismos de bloqueo de pantalla y código de seguridad) puede permitir que una persona con acceso físico al teléfono pueda secuestrar la sesión de WhatsApp de una forma sencilla”?. ¿Cómo? “El primer método tiene que ver con el sistema de registro de la aplicación. Un atacante podría utilizar un teléfono propio o un emulador de terminal y comenzar el proceso de registro con el número de la víctima, como si se tratara de un cambio de terminal”. “Si el atacante consigue acceso físico al teléfono y la previsualización de SMS se encuentra activada, podrá observar el código de seguridad que el teléfono reciba, registrando satisfactoriamente su terminal y obteniendo información personal".

No hay comentarios:

LinkWithin

Related Posts Plugin for WordPress, Blogger...