Seguro que a lo largo del día utilizas WhatsApp desde varios lugares diferentes. Desde tu casa, el trabajo, el restaurante donde paras a comer, el parque donde juegan tus hijos… Y es muy probable que en alguno o varios de ellos utilices una WiFi pública para conectarte a internet. ¿Sabes qué? Alguien con conocimientos medios de seguridad informática podría estar leyendo tus mensajes.
Dos investigadores españoles han revelado a HojaDeRouter.com las razones por las que la ‘app’ de mensajería más extendida, con más de 20 millones de usuarios en España y un total de 350 millones en todo el mundo, es vulnerable a cierto tipo de ataques informáticos. Fundamentalmente hay dos razones: el sistema de cifrado que emplea es antiguo y poco fiable y la contraseña se genera siempre a partir del mismo mismo punto de partida.
Pablo San Emeterio, experto en seguridad de Optenet, y Jaime Sánchez, del Centro de Operaciones de Seguridad de una multinacional de telecomunicaciones y autor del blog Seguridad Ofensiva, se han demostrado que estos problemas existen y se han puesto manos a la obra para solventarlos con WhatsApp Privacy Guard, un programa que añade tres capas de protección adicionales y que será publicado de forma gratuita a finales de noviembre.
El primero de estos niveles de seguridad intercepta las comunicaciones que salen de tu móvil, rompe el cifrado original de WhatsApp e implementa uno más robusto, para después recomponer el original y dejar que los mensajes sigan su camino hacia los servidores de la compañía y posteriormente hasta el terminal del destinatario, que también tendrá que utilizar Privacy Guard para descifrar el texto en base a una contraseña común que habréis pactado previamente.
El segundo nivel se encarga de ocultar la identidad del emisor, para que nadie (WhatsApp, un atacante o la mismísima NSA) pueda determinar quién ha hablado con quién en qué momento en base a los metadatos de la conversación. Lo hace redirigiendo los mensajes para que pasen por varios números virtuales (teléfonos que no pertenecen a ningún usuario real) antes de llegar a los servidores de la empresa.
Por último, la tercera capa, algo más compleja desde el punto de vista técnico, permite prescindir de WhatsApp como intermediario a la hora de transmitir mensajes. Para ello, emisor y receptor intercambian sus mensajes a través de un servidor propio, basado en el mismo protocolo de comunicación que WhatsApp (XMPP), y Privacy Guard envía a los servidores de la firma un segundo mensaje completamente modificado. De esta forma, si la conversación fuera interceptada, el atacante vería un texto falso y no podría acceder al contenido original.
Todos estos procesos se realizan de forma transparente para el usuario, sin que se percate ni tenga que intervenir constantemente. Solo tienes que instalar el programa en tu ordenador u otro dispositivo intermediario (por ejemplo una Raspberry Pi), pactar la contraseña con cada uno de tus contactos y ponerte a chatear. Bueno, si quieres aprovechar las ventajas del tercer nivel también tendrás que montar un servidor XMPP, pero eso puede hacerse de forma sencilla siguiendo un tutorial paso a paso. De lo demás se encarga el ‘software’.
Así que, ya sabes, si quieres seguir utilizando WhatsApp tranquilamente, sin temer que terceros malintencionados espíen tus conversaciones, tendrás que recurrir a soluciones como la de Pablo y Jaime. De momento, la aplicación tal como la descargaste de Google Play o la App Store es claramente vulnerable. Estos dos investigadores españoles lo han demostrado.