WhatsApp: ¿Es realmente una aplicación segura?

A estas alturas, casi todos hemos usado aplicaciones de mensajería instantánea en nuestro smartphone como por ejemplo WhatsApp para comunicarnos con otras personas.

Pero, ¿Os habéis preguntado alguna vez si nuestros mensajes van cifrados? ¿Pueden ser vistos estos mensajes por otras personas sin nuestro consentimiento? En este artículo analizaremos la seguridad de la aplicación WhatsApp.

WhatsApp

WhatsApp es una de las aplicaciones más populares de mensajería instantánea, usada por 350 millones de usuarios.

Recientemente el desarrollador holandés Thijs Alkema, descubrió al menos dos vulnerabilidades en lo que refiere a cifrado en esta aplicación.

La primera vulnerabilidad consiste en  que WhatsApp utiliza la misma clave de cifrado tanto en el envío como en la recepción de mensajes. La segunda vulnerabilidad que ha descubierto Thijs Alkema es la utilización de una misma clave HMAC para autenticar los mensajes. Estas dos vulnerabilidades han sido descubiertas en las últimas versiones de Android y en las serie 40 de Symbian.

Existe también otra vulnerabilidad que permite leer todos los mensajes guardados en la tarjeta Micro SD de los smartphones. WhatsApp realiza un backup de cada 24 horas de todos los mensajes, los cifra y los guarda en una base de datos SQLite. El problema reside en que la clave con la que se cifra estos mensajes es conocida y es común para todos los sistemas operativos móviles (excepto Blackberry).

Existen servicios como por ejemplo recovermessages que permiten recuperar o ver todos los mensajes con solo subir un fichero de la base de datos de los mensajes de WhatsApp guardada en nuestro móvil.

WhatsApp ya ha tenido anteriormente vulnerabilidades:

Hasta mediados del año 2012, los mensajes se enviaban sin cifrar, lo que ponía en peligro a todos sus usuarios, ya que estos mensajes podrían ser leídos a través de otros dispositivos que se encontraran en la misma red.

Otra de las vulnerabilidades más conocidas es el cálculo de la contraseña con la que se accedía al programa de mensajería instantánea. En Android la contraseña se calculaba con el hash MD5 del IMEI del teléfono leído al revés. En IOS la contraseña era simplemente la dirección MAC de la tarjeta Wi-fi del Iphone.

Conclusión

Podemos sacar la conclusión de que WhatsApp actualmente no es seguro. Esperamos que WhatsApp soluciones estos errores pronto y creen finalmente una aplicación segura.

Espero que este artículo haya sido de vuestro interés.

Julio Caballero

@jucab1989