Hoy

El CNI advierte: WhatsApp está plagado de fallos de seguridad

Una mujer mantiene una conversación en WhatsApp.
Una mujer mantiene una conversación en WhatsApp. / Archivo
  • Los servicios secretos denuncian en un informe que la popular aplicación tiene agujeros importantes a la hora de proteger la privacidad

WhatsApp es un verdadero coladero en el tema seguridad. Al menos así lo asegura el mismísimo Centro Nacional de Inteligencia (CNI), que ha decidido tomar cartas en el asunto. Los servicios secretos españoles han elaborado un exhaustivo informe, fechado el pasado septiembre y al que ha tenido acceso este periódico, en el que denuncian que la popular aplicación que en España cuenta con millones de usuarios, tiene agujeros muy serios a la hora de proteger la privacidad de las conversaciones.

El demoledor dossier es obra del más importante departamento oficial del Estado dedicado a la “ciberseguridad nacional”, el Centro de Criptológico Nacional (CCN), dependiente directamente del CNI. La situación inquieta tanto al espionaje español que el informe ha sido ‘desclasificado’ y, de hecho, comenzó ayer a repartirse de manera profusa entre altos funcionarios del Estado y trabajadores de la administración con acceso a información sensible a modo de ‘aviso para navegantes’.

El estudio denominado ‘Riesgo de uso de WhatsApp’ afirma que esta plataforma se ha convertido en uno de los “entornos más atractivos para intrusos y ciberatacantes” en España. “Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación”, denuncia el CCN, que apunta a una decena de agujeros graves de seguridad.

La “carencia más importante” de WhatsApp, según los especialistas del CNI esté en el “proceso de alta y verificación de los usuarios”. Según el informe, la debilidad de la seguridad en este paso ha “propiciado que los intrusos puedan hacer con la cuenta de usuario de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”.

La segunda falla detectada por los servicios de inteligencia del Ministerio de Defensa es el “secuestro de cuentas aprovechando fallos de la red”, en este caso la conocida como SS7. Las brechas de seguridad en esa red hacen factible que un atacante se haga pasar por un usuario y consiga sin demasiados problemas el código de verificación de WhatsApp, pudiendo así “secuestrar” la cuenta ajena. La situación es muy peliaguda: “al tratarse de un fallo de red, y no de la aplicación en sí misma, no existe una forma directa de resolver estos fallos de seguridad”.

Igualmente preocupante para el CCN es el “borrado inseguro de las conversaciones”. El documento avisa que el uso de “técnicas forenses” hace inútil el borrado clásico de los mensajes, porque éstos continúan en la memoria del móvil hasta que son sobre-escritos y porque, tanto en Iphone como en Android, los textos quedan registrados, al hacerse las copias de seguridad. Los espías avisan que solo desinstalar la aplicación y borrar las copias de seguridad harán que desaparezcan las conversaciones.

"Conexión inicial"

Los responsables de la ciberseguridad nacional se muestran inquietos también con la facilidad con que se puede “difundir” a extraños “información sensible durante la conexión inicial”. Las nuevas codificaciones de estos datos –afirma el informe- no han comportado una “mejora sustancial de seguridad”, que sigue siendo muy vulnerable a cualquier experto con una aplicación para desencriptarlas.

El CNI también lamenta la facilidad que da WhatsApp para el “robo de cuentas mediante sms”, una vez que el intruso tenga “acceso físico” al terminal, aunque sea solo unos minutos. Los analistas de Defensa avisan que es muy simple hacer creer a WhatsApp que el usuario ha cambiado de terminal y hacerse con el control de una cuenta. Un “robo de cuentas” también es sencillo mediante una llamada de verificación si el “atacante” tiene acceso físico al terminal por un breve espacio de tiempo. La víctima, tras ese despiste, podría no enterarse jamás que todas sus conversaciones son espiadas.

También es excesivamente vulnerable la “base de datos” en la que WhatsApp almacena todas las conversaciones, con independencia de las ‘nubes’ y las memorias de los terminales. El tipo de memoria usada por la aplicación, llamada SQLite y el actual cifrado de esos mensajes (.crypt12) son pan comido para los ‘piratas’, según el CNI. “Existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información, tanto en una versión para un equipo, como a través de una aplicación en el teléfono o el interfaz de una web”, apunta el dossier.

Hasta ahí, las fallas involuntarias en la confidencialidad. Entre las voluntarias, denuncia el CCN, es que desde el pasado 25 de agosto se “intercambian” sin que el usuario se consciente “datos personales entre WhatsApp y Facebook, las dos plataformas que controla Mark Zuckerberg.