Es una compañía bastante opaca», pero que ha conseguido un éxito atronador pese a las innumerables alternativas más seguras existentes en el mercado de las aplicaciones.
Hermetismo y falta de transparencia se unen a los continuos fallos y problemas de WhatsApp, la popular aplicación de mensajería instantánea, instalada en más de 10 millones de terminales solo en España. No hay semana en la que la compañía no esté en la diana de todas las críticas a consecuencia de las caídas de sus servidores o sus vulnerabilidades. Con el desembarco de Line, que ya ha superado los 80 millones de usuarios, la guerra por abrirse un hueco en este segmento se ha vuelto cada vez más cruenta.
A WhatsApp se le acusa de no eliminar los mensajes y de la posibilidad de acceder a un terminal al compartir una red wi-fi. Son solo algunas de las vulnerabilidades que llevan destapando desde hace más de un año «Securybydefault», cuyo miembro editor Yago Jesús explica a ABC.es que los usuarios están «totalmente indefensos» ante diferentes ataques a consecuencia de esos agujeros en seguridad detectados por expertos informáticos.
«WhatsApp es una compañía bastante opaca», pero que ha conseguido un éxito atronador pese a las innumerables alternativas más seguras existentes en el mercado de las aplicaciones. Uno de sus principales críticas es la falta de privacidad, algo que parece no importarle a sus usuarios: «No sé yo hasta qué punto la seguridad es importante en los usuarios», señala. Sin embargo, su extenso dominio del mercado le ha convertido en el estándar de este tipo de aplicaciones. Pese a que muchos usuarios temen por su privacidad la mayoría se resiste a cambiar. «Si no quieres quedarte marginado tienes que estar, pero hay alternativas», manifiesta.
2011
Marzo: La aplicación, una de las 41 que permite el robo de datos en Android, comienza a popularizarse, pero se detecta que su servidor opera sin protección por la ausencia de cifrado. WhatsApp utiliza el protocolo XMPP, una potente tecnología abierta para comunicación en tiempo real, explican desde el blog informático. El problema es que todos los valores menos el nombre de usuario y contraseña son generados por servidor o cliente y se envían en el challenge (MD5). El nombre de usuario lo proporciona el cliente y también es enviado, pero el «password» también se utiliza para generar el MD5 pero no se envía, ya que es el valor que permite que la autenticación con el servidor sea segura.
Junio: A raíz de que el servicio almacenaba mensajes borrados en la base de datos interna y la localización sin previo aviso, WhatsApp tuvo que sacar una versión en la que sí permitía el cifrado de a base de datos. Eso permitió descubrir la posibilidad de robar cualquier cuenta registrada de forma sencilla. «Securitybydefault» pudo registrar incluso cualquier número de teléfono pudiendo enviar mensajes en su nombre y recibir los destinados a él, lo que permite suplantar a alguien en esta aplicación.
2012
Marzo: Los problemas de privacidad continúan y se informa que se puede acceder al estatus de cualquier número sin restricciones, lo que permitió que estos expertos informáticos puedan extraer el número total de usuarios WhatsApp en España. También presentaba problemas en la gestión de mensajes enviados para verificar números, con el resultado que se podía lanzar un ataque que generase un gasto descomunal en el servicio de mensajes cortos SMS.
Mayo: Tras detectar todos esos problemas de seguridad, se descubre que WhatsApp ha realizado un cambio y ya permite el cifrado de la base de datos.
Agosto: La compañía anuncia mejoras para tratar de blindar la privacidad de sus usuarios. La actualización del sistema de mensajería instantáneaempezó a ofrecer, entre otras novedades, la descarga automática de imágenes.
Septiembre: Es entonces cuando se descubre cómo se genera la contraseña de acceso, mediante el código del dispositivo IMEI en caso del sistema Android y la dirección MAC de la tarjeta wifi en Iphone lo que puede provocar el robo y spameo de las cuentas.
Noviembre: Este mes WhatsApp tuvo una incidencia que provocó que millones de usuarios sufrieran la alteración del estado debido al cambio en cada una de las frases personales por el mensaje «Error: status unavailable». Se descubre un problema en la implementación del protocolo de servicio que permite a un atacante con acceso a la cuenta acceder a los mensajes sin que la persona espiada se de cuenta.
Agencias