Análisis en profundidad

Espiar en WhatsApp: técnicas para leer chats ajenos y cómo asegurarlos

Es posible espiar en WhatsApp aprovechando algunas vulnerabilidades que permiten saltarse el cifrado de extremo a extremo utilizado para proteger las conversaciones. Estas son las técnicas utilizadas por los hackers criminales y los consejos para asegurar los chats

12 Nov 2021

Giorgio Sbaraglia

WhatsApp espía

Es posible espiar en WhatsApp y fisgonear las conversaciones privadas de más de 1.500 millones de personas.

Obviamente, no todos corremos el riesgo de sufrir ciberespionaje, pero para algunos la amenaza ya es una realidad: en mayo de 2019 el Financial Times adelantó una grave vulnerabilidad en la famosa aplicación de mensajería instantánea.

Espionaje en WhatsApp: vulnerabilidades de la app y estado de la cuestión

Esta vulnerabilidad (clasificada como CVE-2019-3568) era devastadoramente efectiva: bastaba una llamada de voz a través de WhatsApp para instalar un software espía (spyware) en el teléfono del destinatario.

Lo que lo hacía especialmente grave era que se trataba de una vulnerabilidad denominada «zero-click», lo que significa que no era necesaria la interacción de la víctima para introducir el spyware. De hecho, una simple llamada telefónica de VoIP a través de WhatsApp generó un «desbordamiento de búfer» que fue posible gracias a la eficacia del arma del atacante.

Así que fue un ataque perfecto y difícil de contrarrestar. Por dos razones: primero, porque funcionaba en todos los sistemas operativos móviles (Android, iOS y Windows Phone). En segundo lugar, porque se dirigía a una aplicación que normalmente tiene acceso a todas las funciones del teléfono que podrían interesar a un ciberdelincuente (fotos, contactos, mensajes, etc.).

El 13 de mayo de 2019, WhatsApp lanzó una actualización (para iOS era la 2.19.51, para Android la 2.19.44) que cerraba la vulnerabilidad aunque, con una «transparencia» cuestionable, el registro de cambios de la actualización se limitaba a decir que «Ahora puedes ver los stickers en su tamaño original manteniendo pulsada la notificación.»

Tanto el arma como el atacante implicados en este asunto son ahora bien conocidos: el creador del software espía llamado Pegasus es la ya famosa empresa israelí NSO Group, líder mundial en software espía para dispositivos móviles.

El programa espía Pegasus, por su elevado costo (cientos de miles de dólares), es utilizado por las agencias gubernamentales, la policía y los servicios de inteligencia y sólo para objetivos específicos e importantes.

Así que es muy poco probable que haya podido afectar a los smartphones de los usuarios normales (para los que los riesgos de interceptación a través de WhatsApp pueden ser de otro tipo, como explicamos más adelante).

El asunto ha tenido un notable seguimiento: WhatsApp y Facebook demandaron a NSO Group.

En la demanda presentada en un tribunal de California, WhatsApp Inc. y Facebook Inc. acusan a NSO Group Technologies Limited de utilizar los servidores de WhatsApp para enviar un malware (Pegasus) que espió los teléfonos móviles de al menos 1.400 usuarios entre el 29 de abril de 2019 y el 10 de mayo de 2019.

Las víctimas -según los abogados de Facebook y WhatsApp- son periodistas, activistas de derechos humanos, figuras políticas, disidentes, diplomáticos y altos funcionarios de gobiernos extranjeros, que se encuentran en Estados Unidos, Emiratos Árabes Unidos, Bahréin, México, Pakistán e India. No se descarta que también haya habido víctimas en Europa.

Esta denuncia representa una importante escalada en el uso de las herramientas de espionaje informático y en el propio uso de Internet: por primera vez una acción legal de este tipo no procede de una asociación de derechos civiles, sino de un gigante de la web como Facebook.

Y la acusación dirigida a NSO Group es contundente, porque se refiere a la violación de una serie de normativas, en primer lugar la Computer Fraud and Abuse Act de Estados Unidos y la California Comprehensive Computer Data Access and Fraud Act, así como la violación de las condiciones de uso de WhatsApp.

Quién es NSO Group y qué ataques de hackers ha realizado

Esta empresa fue fundada en 2010 por antiguos miembros de la famosa Unidad 8200 (parte del Cuerpo de Inteligencia israelí). También se cree que la Unidad 8200 es responsable del ataque Stuxnet, que en 2010 infectó la planta de enriquecimiento de uranio de Natanz, en Irán, haciendo explotar más de mil centrifugadoras con un malware llamado Stuxnet y bloqueando la planta.

Inicialmente, NSO Group, con sede en Herzliya (Israel), fabricaba software para conectarse a distancia a los smartphones (para hacer reparaciones remotas…), pero de ahí a crear un software espía el paso fue corto. Y en pocos años, la empresa israelí se ha convertido en la productora del mejor y más mortífero software espía del mundo.

En 2014 fue vendida al grupo de capital privado Francisco Partners por unos 120 millones de dólares, y luego en febrero de 2019 fue recomprada por los dos cofundadores de la empresa, Shalev Hulio y Omri Lavie.

NSO Group siempre se ha mantenido en la sombra y no hay mucha información sobre ella (hasta hace unos años parece que ni siquiera tenía página web): la primera noticia importante surgió a raíz de la filtración de datos que sufrió en julio de 2015 Hacking Team, su principal competidor. En 2018 tuvo unos ingresos de 250 millones de dólares y «decenas» de clientes (oficialmente estados y gobiernos).

En la página de inicio del sitio, un banner tranquilizador afirma: «NSO crea tecnología que ayuda a las agencias gubernamentales a prevenir e investigar el terrorismo y el crimen para salvar miles de vidas en todo el mundo». Y con los mismos argumentos ha respondido a las acusaciones de WhatsApp, afirmando que sus herramientas están destinadas únicamente a ayudar a los gobiernos a atrapar terroristas y delincuentes.

Pero según Citizen Lab, una asociación sin ánimo de lucro vinculada a la Universidad de Toronto, que lleva tiempo investigando a NSO Group, esta empresa también vende sus productos a regímenes autoritarios que los utilizan para espiar a periodistas y disidentes. Un informe publicado por Citizen Lab reveló que el programa espía Pegasus de NSO Group se ha utilizado contra al menos 175 objetivos en 45 países de todo el mundo.

Y Pegasus es el producto que ha hecho famoso al Grupo NSO, ahora valorado en 1.000 millones de dólares.

WhatsApp y los sistemas de mensajería instantánea: ¿son seguros?

La denuncia de WhatsApp y Facebook incluye otra información interesante, que es útil explorar para entender los riesgos que implica el uso de WhatsApp.

En el escrito de acusación contra NSO Group se dice: «Al no poder romper el cifrado de extremo a extremo de WhatsApp, los acusados (NSO Group, n.d.a.) desarrollaron su propio malware para acceder a los mensajes y otras comunicaciones después de que fueran descifrados en los dispositivos de destino».

Por lo que parece entenderse que WhatsApp considera segura su encriptación aplicada a los mensajes. Recordemos que WhatsApp no implementó el cifrado de extremo a extremo (E2E) hasta 2016 y que compró el algoritmo de cifrado a Open Whisper Systems, una asociación de desarrollo de software de código abierto sin ánimo de lucro con el objetivo de «simplificar las comunicaciones privadas». Open Whisper, dirigida por Moxie Marlinspike, también es conocida por su aplicación de mensajería «Signal», considerada una de las más seguras y respetuosas con la privacidad.

Por lo tanto, podemos suponer que sigue siendo difícil para un atacante leer los mensajes de WhatsApp si tiene que violar el cifrado de extremo a extremo para hacerlo.

Además, hoy en día todos los sistemas de MI (mensajería instantánea) están encriptados de extremo a extremo, lo que los hace más seguros que el correo electrónico, que sigue utilizando protocolos de transmisión como el SMTP, desarrollado en los años 80.

Sin embargo, hay que tener en cuenta que aunque una comunicación esté cifrada de extremo a extremo no significa que alguien no pueda verla. Sólo significa que su contenido está cifrado en el camino de un extremo a otro. Esto evita el llamado ataque del hombre en el medio (MITM).

Pero si uno de los dos «extremos» se ve comprometido, si nuestro teléfono es hackeado (por ejemplo con las técnicas utilizadas por NSO Group, como se ha ilustrado anteriormente) o confiscado físicamente por la policía y desbloqueado, el cifrado deja de ser útil.

La mensajería instantánea, por tanto, puede utilizarse siendo consciente de sus limitaciones y de que no todas las aplicaciones tienen el mismo nivel de seguridad.

WhatsApp, por ejemplo, tiene algunas diferencias que reducen su nivel de privacidad y seguridad en comparación con Signal:

  • Metadatos: El mensaje no es legible debido al cifrado E2E, pero WhatsApp mantiene los metadatos sin cifrar. Recordemos que en el caso de un mensaje, los metadatos son, por ejemplo, la fecha y la hora de envío, los números de teléfono del remitente y del destinatario, su ubicación, etc. Estos metadatos pueden proporcionar a un tercero información importante. Por eso, Signal -a diferencia de WhatsApp- solo almacena en los metadatos el número de teléfono, la fecha de creación de la cuenta y la hora de la última conexión a los servidores de Signal. Tampoco almacena estos metadatos de los mensajes en sus servidores (como hace WhatsApp). Tengamos en cuenta también que WhatsApp es propiedad de Facebook y comparte la información de los usuarios con la empresa matriz… aunque sean sólo metadatos;
  • copia de seguridad: de nuevo por razones de seguridad, en Signal los mensajes se almacenan localmente en el dispositivo y ni siquiera se guardan en la copia de seguridad de iCloud o iTunes (este es el caso del iPhone). En Android, la función de copia de seguridad de Signal sólo puede utilizarse para transferir mensajes de un smartphone a otro. Por el contrario, en WhatsApp la copia de seguridad del chat puede guardarse fuera del smartphone (por ejemplo, en una nube) y tampoco está cifrada. El iMessage de Apple también hace copias de seguridad en la nube, pero lo hace de forma encriptada (y la realización de esta copia de seguridad se puede desactivar en los ajustes);
  • código fuente: el de Signal es público, según la lógica del código abierto, y por tanto accesible para su análisis, mientras que los de WhatsApp e iMessage -como productos comerciales- no lo son;
  • auditoría: Signal fue sometida, ya en 2016, a una auditoría de seguridad por un equipo independiente.

Otras aplicaciones de mensajería instantánea que señalamos, por estar consideradas entre las más seguras, son:

  • Wire (de Wire Swiss GmbH)
  • Threema (por Threema GmbH)

Ambos son fabricados por empresas suizas. Desgraciadamente, su escasa difusión hace que sean poco utilizables.

Espiar el WhatsApp: cómo hacerlo

Hemos mencionado que los mensajes están encriptados E2E, por lo que es más conveniente para un atacante utilizar otras herramientas para hackearlos.

A menudo se aprovechan las vulnerabilidades de los sistemas de mensajería instantánea, como el utilizado por NSO Group, pero en la mayoría de los casos se aprovecha el error humano, que sigue siendo la vulnerabilidad más fácil de atacar.

El primer y más grave error humano es el uso de un producto como WhatsApp por parte de personas y empresas que intercambian información confidencial. WhatsApp es una app que no está diseñada para la seguridad, y su uso tan extendido la convierte en objetivo de empresas e investigadores que buscan continuamente vulnerabilidades que explotar.

En el citado caso del Grupo NSO, también se espió a periodistas, políticos y funcionarios del gobierno, que utilizaban WhatsApp. Pero, como ha señalado acertadamente Andrea Zapparoli Manzoni (miembro del Comité Directivo de Clusit y director de Crowdfense): «¿por qué estas personas utilizan WhatsApp, que es una aplicación comercial sin requisitos de seguridad particulares, para procesar información sensible? Esto los expone a riesgos innecesarios. Quienes manejan información sensible no deberían -por política- utilizar este tipo de herramientas, ni siquiera para comunicarse con amigos o familiares. No se puede esperar que una aplicación gratuita y masiva se preocupe también por nuestra seguridad».

Tras esta necesaria premisa, que nos hace entender -una vez más- cómo la ciberseguridad es ante todo un problema cultural, veamos cómo se puede espiar WhatsApp en la práctica.

La modalidad más frecuente es el uso de software espía, con los llamados «Spyware», de los cuales el citado Pegasus representa sólo el punto más avanzado (y caro).

Hay docenas de aplicaciones asequibles que cualquiera puede utilizar para espiar el smartphone de otra persona. Y se trata de aplicaciones que se venden legalmente, con el objetivo declarado de «controlar los smartphones de sus hijos». En realidad, se trata de programas cuya instalación en el dispositivo de un tercero (sin su permiso) es un verdadero delito.

Las aplicaciones más conocidas se llaman FlexiSPY, Hoverwatch, SpyFone, Mobistealth, mSpy, TeenSafe y Cerberus, pero se pueden encontrar muchas más en la red. Casi todas requieren un acceso directo al dispositivo a espiar para poder instalarse.

Algunas de estas apps están orientadas únicamente a espiar WhatsApp, pero la mayoría son capaces de ver y enviar todo lo que el usuario hace con su smartphone, convirtiéndolo en un auténtico «micrófono» ambiental.

Citizen Lab publicó en junio de 2019 un contundente informe titulado «El depredador en tu bolsillo» que analiza en detalle estos programas espía.

Espiar en WhatsApp: cómo funciona el software espía

Dejemos de lado casos como el de NSO Group-Pegasus, donde se utilizan sofisticadas vulnerabilidades y técnicas de intrusión, contra las que el usuario tiene muy poca defensa.

Veamos los casos más sencillos, al alcance de los atacantes menos poderosos.

Hay dos modos diferentes:

  1. a distancia: se utilizan las técnicas habituales de phishing e ingeniería social, enviando un enlace a través del cual -si se hace clic- se instalará el programa espía. También pueden estar ocultos dentro de aplicaciones o juegos gratuitos. Por ello, siempre es importante que los usuarios presten atención a los mensajes que reciben (si contienen un enlace) y eviten instalar aplicaciones de dudosa procedencia, especialmente si se descargan de tiendas alternativas a las oficiales. Es precisamente en las tiendas de terceros (como Aptoide, F-Droid, Mobogenie, AppMarket, etc.) donde es mucho más fácil publicar aplicaciones maliciosas, porque hay menos controles que en la Google Play Store y la AppStore de Apple (aunque a veces incluso estas han dejado pasar algunas apps maliciosas);
  2. con acceso directo al dispositivo: es la forma más fácil, ya que incluso una persona no especialmente experimentada podría instalar el software espía, disponiendo del smartphone de la víctima (tal vez un colega o un familiar…) durante unos minutos. Por esta razón, es extremadamente importante que siempre tengas un bloqueo de contraseña en tu smartphone para evitar el acceso no autorizado de otra persona. Esta norma debería ser una política obligatoria, especialmente en el caso de los teléfonos inteligentes para uso profesional.

Una vez instalado el software espía, el atacante tiene a su disposición una aplicación o, más frecuentemente, una cuenta web a través de la cual puede ver los datos contenidos en el smartphone de la víctima: llamadas telefónicas, mensajes, correos electrónicos, fotos. También puede activar funciones como la cámara y el micrófono sin que el usuario lo sepa.

Por supuesto, conviene recordar que esto es completamente ilegal y constituye un delito.

Más formas de espiar los chats de WhatsApp

Hemos visto que la mayor vulnerabilidad es el factor humano.

Y es precisamente por la falta de atención del usuario que es posible espiar el WhatsApp de otra persona con extrema facilidad, sin tener ningún conocimiento informático especial. Sólo tienes que usar WhatsApp Web.

WhatsApp Web es una práctica aplicación (se llama WhatsApp Desktop) que permite utilizar WhatsApp también en la computadora. También puede utilizarse como aplicación web a través de Chrome, Firefox, Opera, Microsoft Edge y Safari.

En ambos modos, sólo tienes que abrir WhatsApp en tu smartphone y, desde los ajustes en «WhatsApp Web/Desktop», escanear el QRCode que aparece en la pantalla de tu computadora.

WhatsApp es más cómodo de usar en la computadora que la versión del smartphone. Esto significa que todas las conversaciones de WhatsApp se sincronizarán entre el smartphone y la computadora. La única otra condición es que el smartphone esté conectado a Internet. Todo muy conveniente.

Pero, ¿qué pasa si otra persona toma nuestro smartphone y lo conecta a su computadora? Será un juego de niños espiar todo lo que hacemos con WhatsApp.

Este riesgo se puede evitar de forma elemental, simplemente no dejando el smartphone sin vigilancia cuando no está bloqueado. Establecer una contraseña de bloqueo en nuestro dispositivo es -como ya hemos dicho- una regla tan sencilla como imprescindible.

También podemos -para mayor seguridad- activar la autenticación de dos factores en WhatsApp: es una opción disponible en el menú de Ajustes, en Verificación en dos pasos.

Por último, si sospechamos que alguien ha conseguido conectar su computadora a nuestro WhatsApp, basta con ir al menú de WhatsApp Web/Desktop y se nos mostrará qué dispositivos están conectados. Si no los conectamos, simplemente podemos tocar la opción Desconectar de todos los dispositivos (en iOS) o Desconectar de todos los equipos (en Android).

Espiar el WhatsApp: Clonar la dirección MAC

Por último, existe otra forma de espiar el WhatsApp de otra persona: clonar la dirección MAC. La dirección MAC es un código de 12 dígitos que identifica de forma exclusiva todos los dispositivos que pueden conectarse a Internet.

Aparece con una notación como esta: f1:56:35:47:78:cb y para conocerla hay que entrar en la Configuración del dispositivo que se quiere espiar.

Una vez descubierto, el atacante tendrá que sustituir la dirección MAC de su dispositivo por la del smartphone de la víctima. Esto se puede hacer utilizando aplicaciones que falsifican la dirección MAC y son fáciles de encontrar (MacDaddy X o WifiSpoof para iPhone, BusyBox o Terminal Emulator para Android).

El atacante deberá entonces instalar WhatsApp en su smartphone, introducir el número de teléfono de la víctima y esperar el código de verificación que WhatsApp enviará al teléfono de la víctima. Si el atacante tiene acceso a su teléfono (este es siempre el punto débil), podrá leer este código e introducirlo en el WhatsApp de su dispositivo.

Se trata -como se puede comprender- de un procedimiento bastante engorroso que requiere cierta habilidad técnica por parte del atacante.

Además, necesitarán acceder directamente al teléfono de la víctima, primero para descubrir la dirección MAC del dispositivo y luego para interceptar el SMS de confirmación necesario para activar WhatsApp en su dispositivo.

Conclusiones y consejos para asegurar tu smartphone y whatsapp

A la luz de lo que hemos dicho hasta ahora, tengamos en cuenta que una brecha de seguridad en un smartphone hoy en día puede ser potencialmente más grave y peligrosa que en una computadora (porque cada vez hay más datos en un smartphone, y más datos importantes).

Y no olvidemos que para un ciberdelincuente puede ser más útil espiar un smartphone que robarlo.

@RESERVADOS TODOS LOS DERECHOS
S
Giorgio Sbaraglia
Temas principales

Especificaciones

H
hackers
S
spyware
W
whatsapp

Nota 1 de 4