Estamos conectados todo el tiempo. De acuerdo a un reporte de WeAreSocial y el Instituto Federal de Telecomunicaciones México se encuentra dentro de los cinco países con mayor presencia a nivel mundial en algún servicio provisto por Facebook: sea Instagram, Messenger, WhatsApp o la red social homónima (Facebook). Enfocándonos solo en el servicio de mensajería instantánea, el cual cuenta con más de 2,000 millones de usuarios a nivel mundial —convirtiéndola en la segunda red social con más usuarios activos—, es de esperarse que los ciberdelincuentes se hagan presentes, explotando las vulnerabilidades propias del servicio pero, sobre todo, la poca prevención de los usuarios. El uso de redes sociales, dada su magnitud, se ha vuelto un verdadero foco rojo para la Ciberseguridad en la última década.
El mito del Encriptado de punto a punto
Hasta hace relativamente poco, WhatsApp no contaba con un protocolo de cifrado de mensajes, lo que hacía que las comunicaciones dadas dentro del servicio pudiesen ser interceptadas por cualquier agente tercero que vulnerara tanto el dispositivo del usuario como el servidor del sistema de mensajería. Dadas las demandas de usuarios, las brechas reportadas y la creciente adopción de mecanismos de protección y de seguridad en los servicios de mensajes instantáneos, Facebook implementó encriptado de punta a punta desde el 2016 en la aplicación de telecomunicaciones, sin embargo ésta se ha puesto en duda desde su aparición, considerando la tradición que la compañía de Mark Zuckerberg ha tenido con respecto a la privacidad del usuario.
Fundamentalmente, el protocolo de encriptado de WhatsApp no está mal, pues funciona de manera estándar: el mensaje solo puede ser leído por los partícipes de la conversación, cuyos dispositivos tienen la clave para decodificar el mensaje enviado. Donde WhatsApp falla es en la construcción misma de su aplicación, la cual puede ser accedida si, por ejemplo, el teléfono se encuentra comprometido o vulnerado por software malicioso (como spyware); de esta forma, un hacker puede acceder a los mensajes enviados o recibidos sin necesidad de contar con el protocolo para decodificar las comunicaciones. La aplicación y la información que permanece en ésta no se encuentra aislada (sandboxed) de componentes críticos y por lo tanto, una vulnerabilidad dada en el sistema operativo representa potencialmente una vulnerabilidad en la aplicación. Otro problema dado con a E2EE (End-to-end encryption, por sus siglas en inglés) es que los respaldos que la aplicación genera de forma automática y que, en muchos casos, se almacenan tanto en la nube (iCloud o Google Drive) como de forma local, no están cifrados, por lo que pueden ser accedidos y vistos en el caso de que se vulnere el servidor o el dispositivo móvil.
Esto, en pocas palabras, nos indica que si bien el cifrado de WhatsApp funciona como se esperaría, éste solo protege a los mensajes en tanto son transmitidos a su destino: al llegar al móvil, éstos quedan tan vulnerables como si no hubiese existido dicho protocolo en primera instancia.
El abuso de la ingenuidad
Pese a la falta de un protocolo mucho más robusto de seguridad en la aplicación, el 2020 vio un alza en el robo de cuentas de WhatsApp, un mecanismo de suplantación de identidad que se aprovecha de la ingenuidad y falta de previsión de los usuarios. El mecanismo usado es sencillo: cuando utilizas la aplicación por primera vez y registras tu número, el sistema envía un SMS con un código de confirmación. Usualmente la aplicación detecta este mensaje y registra el código de forma inmediata; sin embargo, no existe ninguna medida que evite que la aplicación se registre con otro número que no sea el del dispositivo. Esta vulnerabilidad, sencilla en su operación, ha sido altamente explotada por ciberdelincuentes quienes registran un número ajeno al suyo en la aplicación, posteriormente contactan al número que registraron vía SMS con una excusa similar a: "Registré por accidente tu número en mi WhatsApp, ¿me podrías pasar el código que te llegó?" Usuarios desprevenidos comparten el código, pensando que ésto no los afectará pero, en cuanto el criminal registra en WhatsApp la confirmación enviada, éste tiene acceso inmediato a los contactos y conversaciones del número que registró, dejando al usuario legítimo fuera de su cuenta y sin acceso.
Este mecanismo es usado para obtener fondos de forma ilícita: haciéndose pasar por la persona real, los criminales aprovechan la familiaridad con el resto de los contactos del usuario para solicitarles dinero, dado que muchos reconocerán a la persona que los contacta —sobre todo familia y amigos cercanos—, aceptarán realizar un depósito o transferencia, dado que creen conocer a la persona detrás. Esta forma de ataque de suplantación de identidad podrá aumentar de forma exponencial en 2021, cuando WhatsApp implemente en el país su servicio de WhatsApp Pay: un sistema de transferencia inmediata basada en el servicio de mensajería.
¿Cómo protegerse?
El primer paso para la protección es el entendimiento. Si como usuarios nos dedicamos a comprender de qué forma pueden atacarnos, podemos ser más conscientes respecto a la información que compartimos y, por lo tanto, podemos prevenir grandes problemas. Sin embargo, es claro que muchos de estos problemas no recaen de forma absoluta en nosotros y, en tanto Facebook incrementa su seguridad de usuario y parcha los problemas existentes, existen tres cosas fundamentales que podemos hacer si caemos en esta estafa:
Bloqueo de SIM: llama a tu proveedor telefónico y pide que bloqueen tu tarjeta SIM, para evitar que se haga uso del número. Aunque esto dejará a tu dispositivo sin comunicación, también prevendrá que el delincuente acceda a más contactos de forma remota.
Bloquear la cuenta de WhatsApp: envía un correo a support@whatsapp.com, poniendo como asunto Teléfono robado/extraviado: Por favor, desactiva mi cuenta y, en el cuerpo del mensaje, tu número de teléfono en formato internacional.
Reinstalar WhatsApp: Borra la aplicación en tu dispositivo y vuélvela a instalar, registrando de nuevo tu número, el código te llegará a ti y con ello, podrás recuperar el acceso a tu cuenta.
Para evitar que intrusos accedan a tu sesión, activa la Verificación en dos pasos: una solución que permite asegurarte a través de un código PIN, que tendrás que poner cada que inicies sesión en un dispositivo nuevo. Recuerda jamás compartir información personal o sensible a través de mensajes de texto y, sobre todo, no compartir ningún código con terceros.