Hay webs que prometen aplicaciones para el móvil que son tan fantásticas que con sólo instalarlas en tu dispositivo ya puedes empezar a espiar a tu antojo a cualquier número de móvil. Las explicaciones que dan para justificar su funcionamiento son tan peregrinas como que llegan interceptar las transmisiones vía satélite y de ellas entresacan no sé qué códigos y ya.
A ver, si todo fuera tan sencillo, ¿de verdad crees que Whatsapp seguiría ahí?
Lo que hay detrás de estas webs sí que es bien sencillo, y te lo explico en pocas palabras.
Te “preparan” para encontrar “lo que más deseas”, es decir, espiar a quien quieras en un par de clics. Y para ello ponen “a tu disposición” una app de “código abierto” (de la que no hay código por ninguna parte) con lo que lo ves que, en conjunto, tratan de “infundarte confianza” para que piques. Es decir, “te van a engañar”, así de fácil. Es pura "ingeniería social" (el arte de engañar para conseguir un propósito).
A continuación te invitan a “pulsar un enlace de descarga” que te redirige a otras páginas de intercambios de archivos desde las que te puedes descargar esa “aplicación mágica”. Lo curioso es que dicho sistema de descarga te pide que te registres con un usuario y password y, a continuación, te pide tus datos bancarios (tarjeta de crédito, etc.) con la promesa de que el primer mes “es gratuito” y que te puedes dar de baja en cuanto quieras. Es decir, aparentemente la jugada te saldrá gratis.
Pero no, no es así. Sucede que hay muchísimas denuncias de personas que han tratado de hacer ésto y lo que han logrado es que:
- Les cobren religiosamente unas jugosas cuotas.
- Se han descargado aplicaciones que no hacen lo que prometen (ni tampoco se sabe a ciencia cierta qué hacen, seguro que nada bueno).
- Ni han podido espiar ni nada parecido a nadie.
Whatsapp no es “espiable” de buenas a primeras (lo que es la aplicación en sí misma) partiendo de que los datos que maneja (el tráfico de mensajes) son propios de la aplicación, no del sistema operativo de tu móvil (Android, IOS, etc.). Precisamente ese es el “problema” que plantean las utilidades parentales con este tipo de contenidos, que sí te permiten monitorear la actividad (si se usa o no la aplicación) pero no pueden acceder al contenido. Otra cosa son los SMS, etc. que sí son controlados por el sistema operativo.
(a continuación un párrafo un poco técnico... :-( )
En todo caso, para realizar un hackeo de los mensajes de whatsapp hay que seguir procedimientos más técnicos que implican conocer la dirección MAC (dirección física) del dispositivo a espiar (por tanto hay que tener acceso al terminal a espiar al menos una vez o bien compartir con él una red wifi durante un tiempo para lograr esa dirección MAC), después suplantar esa MAC en otro dispositivo (para lo cual debe estar rooteado) y, a continuación, hacer una instalación de Whatsapp en el terminal espía (que habrá que validar vía SMS). Todo esto implica, además, que deberemos tener una tarjeta SIM duplicada para poder recibir dicho SMS (porque la red telefónica supone una capa más a saltarse, etc…). Hay alguna opción más de hackeo mediante la versión web de Whatsapp pero requiere tener el móvil a espiar conectado físicamente al menos en algún momento anterior al supuesto ataque… Resumiendo y sin tecnicismos: es más que improbable (siempre y cuando sigas los consejos que te daré al final de este artículo).
En todo caso, para realizar un hackeo de los mensajes de whatsapp hay que seguir procedimientos más técnicos que implican conocer la dirección MAC (dirección física) del dispositivo a espiar (por tanto hay que tener acceso al terminal a espiar al menos una vez o bien compartir con él una red wifi durante un tiempo para lograr esa dirección MAC), después suplantar esa MAC en otro dispositivo (para lo cual debe estar rooteado) y, a continuación, hacer una instalación de Whatsapp en el terminal espía (que habrá que validar vía SMS). Todo esto implica, además, que deberemos tener una tarjeta SIM duplicada para poder recibir dicho SMS (porque la red telefónica supone una capa más a saltarse, etc…). Hay alguna opción más de hackeo mediante la versión web de Whatsapp pero requiere tener el móvil a espiar conectado físicamente al menos en algún momento anterior al supuesto ataque… Resumiendo y sin tecnicismos: es más que improbable (siempre y cuando sigas los consejos que te daré al final de este artículo).
(ya se acabó el rollo técnico... ;-) )
Y por último, en las versiones recientes Whatsapp cifra los mensajes “sí o sí”. Es decir, aunque se pudiera conseguir una réplica del tráfico de mensajes, sería en vano. Aquí tienes una referencia a este tema desde la propia web de Whatsapp: https://faq.whatsapp.com/es/general/28030015
De entre la documentación técnica entresaco lo siguiente, para que te hagas una idea de contexto del nivel de encriptación (que, por cierto, se genera en el propio terminal con lo que ni tan siquiera Whatsapp puede conocer el contenido de los mensajes que procesa a través de sus servidores):
El sistema hace uso de tres tipos de claves públicas (una para identificar al dispositivo, otra generada periódicamente y firmada digitalmente por la anterior, y otra que se usa solo una vez en cada utilización del servicio) y tres tipos de claves de sesión (una clave de administrador usada para generar la clave de cadena, una clave de cadena utilizada para crear la clave de mensaje, y una clave de mensaje que consta de 80 bytes: 32 de ellos para una clave AES-256, otros 32 para una clave HMAC-SHA256, y otros 16 para un IV, un vector de inicialización).
RECOMENDACIÓN: actualizar Whatsapp a la última versión disponible, y NO DESCARGAR apps fuera de los servicios oficiales.
NOTA: únicamente cabrían ataques definidos para la lectura de los sistemas del dispositivo a espiar como el teclado virtual (mediante un "keylogger") que pertenece sistema operativo o realizar capturas de pantalla para entre leer los mensajes, pero aquí ya estamos hablando de otras cosas que también requieren la infección del terminal a espiar con algún malware muy específico. Quizá las fotografías intercambiadas sí sean más fácilmente "robables" porque se quedan almacenadas en la "galería" común de fotografías (échale un vistazo), pero iguamente, esta acción necesita un malware específico, etc.
Por completar un poco el artículo: Alguna de esas “fantásticas” aplicaciones que te dan gratis es una llamada “Cell Hack 5.0” (resulta curioso que las webs que la publicitan suelen estar todas bajo un mismo registrador (se puede comprobar a través de www.whois.com).
Recomendaciones para que, en general, no te lleves sustos:
- Cuando descargues aplicaciones hazlo sólo desde las tiendas oficiales (Google Market, Apple Store, etc.).
- Conectate sólo a wifis seguras (propias de organismos, etc. y asegúrate de que son las oficiales).
- No uses wifis gratuitas o de orígenes desconocidos para conectarte a tu correo, al banco, etc.
- Nunca reveles datos personales a través de sistemas online o llamadas telefónicas. Es mejor que tú contactes con los supuestos servicios para asegurarte de que son quienes prometen ser.
- Instala un antivirus en tu móvil.
No hay comentarios:
Publicar un comentario