El CNI advierte: WhatsApp está plagado de fallos de seguridad

Una mujer mantiene una conversación en WhatsApp.
Una mujer mantiene una conversación en WhatsApp. / Archivo
  • Los servicios secretos denuncian en un informe que la popular aplicación tiene agujeros importantes a la hora de proteger la privacidad

¡Semillas, macetas, herramientas y mucho más!

Las mejores marcas a los mejores precios

Moda casual para hombre y mujer

Hasta 70%

Deportivas para toda la familia al mejor precio

Las mejores marcas a los mejores precios

Colección en piel de bolsos y zapatos de diseño

Hasta 70%

Selección de botas, botines y zapatos para mujer

Hasta 70%

Calzado de piel para hombre y mujer

Hasta 70%

Calzado de piel al mejor precio

Hasta 80%

Moda casual para hombre y mujer

Las mejores marcas a los mejores precios

Relojes de pulsera para hombre y mujer

Hasta 70%

Diseños exclusivos en bolsos de piel

Las mejores marcas a los mejores precios

Joyas y relojes para hombre y mujer

Hasta 70%

Selección de marcas especializadas en outdoor

Las mejores marcas a los mejores precios

¡Encuentra la cazadora que se adapta a tu estilo!

Hasta 90%

Moda casual para mujer

Las mejores marcas a los mejores precios

Bolsos de piel made in Italy

Hasta 80%

Relojes de moda para hombre y mujer

Las mejores marcas a los mejores precios

¡La moda que más te gusta al mejor precio!

Hasta 80%

¡Viaja con estilo!

Hasta 80%

Deportivas, botas y zapatos para hombre

Las mejores marcas a los mejores precios

Relojes de pulsera al mejor precio

Hasta 80%

Accesorios y gadgets electrónicos

Hasta 90%

Viste tu cama con la Denim más reconocida

Las mejores marcas a los mejores precios

Relojes de moda para hombre y mujer

Las mejores marcas a los mejores precios

Relojes y brazaletes inteligentes

Hasta 80%

Cosmética de calidad al mejor precio

Hasta 90%

¡El calzado de moda a tus pies!

Hasta 70%

Complementos y juguetes eróticos.¡Mantén viva la pasión!

Hasta 80%

WhatsApp es un verdadero coladero en el tema seguridad. Al menos así lo asegura el mismísimo Centro Nacional de Inteligencia (CNI), que ha decidido tomar cartas en el asunto. Los servicios secretos españoles han elaborado un exhaustivo informe, fechado el pasado septiembre y al que ha tenido acceso este periódico, en el que denuncian que la popular aplicación que en España cuenta con millones de usuarios, tiene agujeros muy serios a la hora de proteger la privacidad de las conversaciones.

El demoledor dossier es obra del más importante departamento oficial del Estado dedicado a la “ciberseguridad nacional”, el Centro de Criptológico Nacional (CCN), dependiente directamente del CNI. La situación inquieta tanto al espionaje español que el informe ha sido ‘desclasificado’ y, de hecho, comenzó ayer a repartirse de manera profusa entre altos funcionarios del Estado y trabajadores de la administración con acceso a información sensible a modo de ‘aviso para navegantes’.

El estudio denominado ‘Riesgo de uso de WhatsApp’ afirma que esta plataforma se ha convertido en uno de los “entornos más atractivos para intrusos y ciberatacantes” en España. “Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación”, denuncia el CCN, que apunta a una decena de agujeros graves de seguridad.

La “carencia más importante” de WhatsApp, según los especialistas del CNI esté en el “proceso de alta y verificación de los usuarios”. Según el informe, la debilidad de la seguridad en este paso ha “propiciado que los intrusos puedan hacer con la cuenta de usuario de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”.

La segunda falla detectada por los servicios de inteligencia del Ministerio de Defensa es el “secuestro de cuentas aprovechando fallos de la red”, en este caso la conocida como SS7. Las brechas de seguridad en esa red hacen factible que un atacante se haga pasar por un usuario y consiga sin demasiados problemas el código de verificación de WhatsApp, pudiendo así “secuestrar” la cuenta ajena. La situación es muy peliaguda: “al tratarse de un fallo de red, y no de la aplicación en sí misma, no existe una forma directa de resolver estos fallos de seguridad”.

Igualmente preocupante para el CCN es el “borrado inseguro de las conversaciones”. El documento avisa que el uso de “técnicas forenses” hace inútil el borrado clásico de los mensajes, porque éstos continúan en la memoria del móvil hasta que son sobre-escritos y porque, tanto en Iphone como en Android, los textos quedan registrados, al hacerse las copias de seguridad. Los espías avisan que solo desinstalar la aplicación y borrar las copias de seguridad harán que desaparezcan las conversaciones.

"Conexión inicial"

Los responsables de la ciberseguridad nacional se muestran inquietos también con la facilidad con que se puede “difundir” a extraños “información sensible durante la conexión inicial”. Las nuevas codificaciones de estos datos –afirma el informe- no han comportado una “mejora sustancial de seguridad”, que sigue siendo muy vulnerable a cualquier experto con una aplicación para desencriptarlas.

El CNI también lamenta la facilidad que da WhatsApp para el “robo de cuentas mediante sms”, una vez que el intruso tenga “acceso físico” al terminal, aunque sea solo unos minutos. Los analistas de Defensa avisan que es muy simple hacer creer a WhatsApp que el usuario ha cambiado de terminal y hacerse con el control de una cuenta. Un “robo de cuentas” también es sencillo mediante una llamada de verificación si el “atacante” tiene acceso físico al terminal por un breve espacio de tiempo. La víctima, tras ese despiste, podría no enterarse jamás que todas sus conversaciones son espiadas.

También es excesivamente vulnerable la “base de datos” en la que WhatsApp almacena todas las conversaciones, con independencia de las ‘nubes’ y las memorias de los terminales. El tipo de memoria usada por la aplicación, llamada SQLite y el actual cifrado de esos mensajes (.crypt12) son pan comido para los ‘piratas’, según el CNI. “Existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información, tanto en una versión para un equipo, como a través de una aplicación en el teléfono o el interfaz de una web”, apunta el dossier.

Hasta ahí, las fallas involuntarias en la confidencialidad. Entre las voluntarias, denuncia el CCN, es que desde el pasado 25 de agosto se “intercambian” sin que el usuario se consciente “datos personales entre WhatsApp y Facebook, las dos plataformas que controla Mark Zuckerberg.