Diario Vasco

Los agujeros de WhatsApp

La popular aplicación es un coladero en seguridad, según el CNI.
La popular aplicación es un coladero en seguridad, según el CNI. / DADO RUVIC
  • Los servicios secretos denuncian en un informe que la popular aplicación está plagada de fallos de seguridad

WhatsApp es un verdadero coladero en el tema de seguridad. Al menos así lo asegura el mismísimo Centro Nacional de Inteligencia (CNI), que ha decidido tomar cartas en el asunto. Los servicios secretos españoles han elaborado un exhaustivo informe, fechado en septiembre y al que ha tenido acceso este periódico, en el que denuncian que WhatsApp tiene agujeros muy serios a la hora de proteger la privacidad de las conversaciones. El demoledor dossier es obra del más importante departamento oficial del Estado dedicado a la «ciberseguridad nacional», el Centro Criptológico Nacional (CCN), dependiente directamente del CNI. La situación inquieta tanto al espionaje español que el informe ha sido 'desclasificado' y, de hecho, comenzó ayer a repartirse de manera profusa entre altos funcionarios del Estado y trabajadores de la administración con acceso a información sensible a modo de 'aviso para navegantes'.

El estudio, denominado 'Riesgo de uso de WhatsApp' afirma que esta plataforma se ha convertido en uno de los «entornos más atractivos para intrusos y ciberatacantes» en España. «Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan», denuncia el CCN, que apunta a una decena de agujeros graves de seguridad. La «carencia más importante» de WhatsApp, según los especialistas del CNI, está en el «proceso de alta y verificación de los usuarios». Según el informe, la debilidad de la seguridad en este paso ha «propiciado que los intrusos puedan hacerse con la cuenta de usuario de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre».

Secuestro de cuentas

La segunda falla detectada es el «secuestro de cuentas aprovechando fallos de la red», en este caso la conocida como SS7. Las brechas de seguridad en esa red hacen factible que un atacante se haga pasar por un usuario y consiga sin demasiados problemas el código de verificación de WhatsApp, pudiendo así «secuestrar» la cuenta ajena. Igualmente preocupante es el «borrado inseguro de las conversaciones». El documento avisa que el uso de «técnicas forenses» hace inútil el borrado clásico de los mensajes, porque estos continúan en la memoria del móvil. Los espías avisan de que solo desinstalar la aplicación y borrar las copias de seguridad harán que desaparezcan las conversaciones.

El CNI también lamenta la facilidad que da WhatsApp para el «robo de cuentas mediante sms», una vez que el intruso tiene «acceso físico» al terminal, aunque sea solo unos minutos. Los analistas de Defensa avisan de que es muy simple hacer creer a WhatsApp que el usuario ha cambiado de terminal y hacerse con el control de una cuenta. La víctima, tras ese despiste, podría no enterarse jamás de que todas sus conversaciones son espiadas.

También es excesivamente vulnerable la «base de datos» en la que WhatsApp almacena todas las conversaciones, con independencia de las 'nubes' y las memorias de los terminales. El tipo de memoria usada por la aplicación, llamada SQLite y el actual cifrado de esos mensajes (.crypt12) son pan comido para los 'piratas', según el CNI.

Hasta ahí, las fallas involuntarias en la confidencialidad. Entre las voluntarias, denuncia el CCN, es que desde el pasado 25 de agosto se «intercambian» sin que el usuario sea consciente «datos personales entre WhatsApp y Facebook, las dos plataformas que controla Mark Zuckerberg.

Recibe nuestras newsletters en tu email

Apúntate