¿Es Seguro Whasapp?
Hoy trataremos de dar respuesta a la pregunta que da titulo a este post, en primer lugar diremos para aquellos que lo desconocen que es el whasapp; Whasapp es una aplicación para smartphones que nos permite comunicarnos mediante mensajeria de forma gratuita con los contactos que tengamos en nuestra agenda y que dispongan de dicha aplicación instalada además de disponer de tarifa de datos o conexión a una red wifi.
Dicho esto damos respuesta a la pregunta del titular, ¿Es Seguro Whasapp? la respuesta es no como todo en esta vida nada es 100% seguro, mucho menos lo iba a ser Whasapp.
Aunque desde agosto los mensajes que enviamos a nuestros contactos a través de Whasapp estan encriptados, no era asi con anterioridad por lo que cualquiera que estuviera conectado a una misma red wifi podia interceptar estos mensajes,actualmente este cifrado sigue sin ser 100% seguro.
El problema reside en que la clave de cifrado que se utiliza en dispositivos Android es el HASH del número IMEI del teléfono pero invertida; es decir, si calculamos el HASH de nuestro número de IMEI y lo escribimos de derecha a izquierda en vez de izquierda a derecha, obtendremos la clave de cifrado que utiliza la aplicación WhatsApp y, por lo tanto, podríamos descifrar los mensajes.
Hoy trataremos de dar respuesta a la pregunta que da titulo a este post, en primer lugar diremos para aquellos que lo desconocen que es el whasapp; Whasapp es una aplicación para smartphones que nos permite comunicarnos mediante mensajeria de forma gratuita con los contactos que tengamos en nuestra agenda y que dispongan de dicha aplicación instalada además de disponer de tarifa de datos o conexión a una red wifi.
Dicho esto damos respuesta a la pregunta del titular, ¿Es Seguro Whasapp? la respuesta es no como todo en esta vida nada es 100% seguro, mucho menos lo iba a ser Whasapp.
Aunque desde agosto los mensajes que enviamos a nuestros contactos a través de Whasapp estan encriptados, no era asi con anterioridad por lo que cualquiera que estuviera conectado a una misma red wifi podia interceptar estos mensajes,actualmente este cifrado sigue sin ser 100% seguro.
El problema reside en que la clave de cifrado que se utiliza en dispositivos Android es el HASH del número IMEI del teléfono pero invertida; es decir, si calculamos el HASH de nuestro número de IMEI y lo escribimos de derecha a izquierda en vez de izquierda a derecha, obtendremos la clave de cifrado que utiliza la aplicación WhatsApp y, por lo tanto, podríamos descifrar los mensajes.
Por otra parte, en la versión para dispositivos IOS (IPad/IPhone), la clave de cifrado utilizada es el HASH de la dirección MAC de la interfaz wifi duplicada.
¿Cuál es el riesgo real?
Para que alguien pudiese interceptar y descifrar los mensajes que envías desde tu WhatsApp, se deberían dar las siguientes condiciones:
El atacante debería estar conectado a la misma red wifi que tú. Por ejemplo, en una red wifi pública.
El atacante debería conocer el IMEI de tu teléfono móvil. Algo nada trivial.
El atacante debería tener suficientes conocimiento informáticos como para poder capturar el tráfico de la red, calcular el hash del IMEI y descifrar los mensajes.
Existen otros riesgos, desde la existencia de una aplicacion denominada WhastAPI para poder usar WhatsApp desde los lenguajes de programación como PHP y Python, abriendo así la puerta hacia aplicaciones web.
Con esta aplicación alguien podria suplantar nuestra identidad en Whatapp; tan solo necesitaria conocer el IMEI del teléfono (en el caso de los dispositivos Android), o la MAC de la tarjeta de red (en el caso de los dispositivos IOS). De hecho ya existen páginas que ofrecen a usuarios sin conocimientos técnicos la posibilidad de suplantar la identidad de un usuario en Whatapp: tan solo debe conocer la MAC o el IMEI del teléfono que se desea suplantar.
Para conocer el IMEI de un teléfono necesitamos tener acceso físico al mismo pero si lo conseguimos, en pocos segundos e introduciendo una combinación de teclas (*#06# para los dispositivos Android), se nos mostrará el IMEI.
Por otro lado, para obtener la MAC de un dispositivo IOS bastaría con capturar el tráfico estando conectado a la misma red del teléfono a suplantar, por ejemplo, una red wifi pública.
¿Cuál es el riesgo real?
Para que alguien pudiese interceptar y descifrar los mensajes que envías desde tu WhatsApp, se deberían dar las siguientes condiciones:
El atacante debería estar conectado a la misma red wifi que tú. Por ejemplo, en una red wifi pública.
El atacante debería conocer el IMEI de tu teléfono móvil. Algo nada trivial.
El atacante debería tener suficientes conocimiento informáticos como para poder capturar el tráfico de la red, calcular el hash del IMEI y descifrar los mensajes.
Existen otros riesgos, desde la existencia de una aplicacion denominada WhastAPI para poder usar WhatsApp desde los lenguajes de programación como PHP y Python, abriendo así la puerta hacia aplicaciones web.
Con esta aplicación alguien podria suplantar nuestra identidad en Whatapp; tan solo necesitaria conocer el IMEI del teléfono (en el caso de los dispositivos Android), o la MAC de la tarjeta de red (en el caso de los dispositivos IOS). De hecho ya existen páginas que ofrecen a usuarios sin conocimientos técnicos la posibilidad de suplantar la identidad de un usuario en Whatapp: tan solo debe conocer la MAC o el IMEI del teléfono que se desea suplantar.
Para conocer el IMEI de un teléfono necesitamos tener acceso físico al mismo pero si lo conseguimos, en pocos segundos e introduciendo una combinación de teclas (*#06# para los dispositivos Android), se nos mostrará el IMEI.
Por otro lado, para obtener la MAC de un dispositivo IOS bastaría con capturar el tráfico estando conectado a la misma red del teléfono a suplantar, por ejemplo, una red wifi pública.
Reformulamos entonces nuestras recomendaciones de seguridad:
-Nunca pierdas de vista tu teléfono, ni lo dejes al alcance de desconocidos.
-Evita el uso de esta aplicación cuando estés conectado a redes wifi públicas (aeropuertos, cafeterías, etc.). Nunca sabes quién puede estar escuchando.
-Aplica unas medidas de seguridad básicas a tu propia red wifi. De esta forma evitarás que alguien se conecte a ella sin tu consentimiento.
-Consulta el manual de tu router para saber cómo aplicar las siguientes recomendaciones dado que varían en función del fabricante:
-Cambia la password por defecto que da acceso a tu router o punto de acceso
-Aumenta la seguridad de los datos transmitidos, activando la encriptación WPA/WPA2
-Activa el filtrado de direcciones MAC
Fdo. @Bios72 (Bios Shodan)
-Nunca pierdas de vista tu teléfono, ni lo dejes al alcance de desconocidos.
-Evita el uso de esta aplicación cuando estés conectado a redes wifi públicas (aeropuertos, cafeterías, etc.). Nunca sabes quién puede estar escuchando.
-Aplica unas medidas de seguridad básicas a tu propia red wifi. De esta forma evitarás que alguien se conecte a ella sin tu consentimiento.
-Consulta el manual de tu router para saber cómo aplicar las siguientes recomendaciones dado que varían en función del fabricante:
-Cambia la password por defecto que da acceso a tu router o punto de acceso
-Aumenta la seguridad de los datos transmitidos, activando la encriptación WPA/WPA2
-Activa el filtrado de direcciones MAC
Fdo. @Bios72 (Bios Shodan)
No hay comentarios:
Publicar un comentario
Comentarios.-