1. Evitar que nos roben la cuenta suplantando nuestro número de teléfono.
Debido a un grave fallo de seguridad en las redes GSM, concretamente en el protocolo SS7 utilizado para el establecimiento y finalización de llamadas entre otros usos, sería posible hackear un móvil simplemente sabiendo el número de teléfono, haciendo creer a la red telefónica que el número de teléfono del atacante es el mismo que el de la víctima y de esta forma recibir los mensajes dirigidos a ella. Mediante esta técnica el atacante puede apoderarse de la cuenta de WhatsApp y acceder a todos los mensajes.
Al ser un fallo de la red GSM y no de la aplicación (no solo afecta a WhatsApp sino a la mayoría de aplicaciones que disponen del envío de un SMS o llamada como método de verificación de la identidad) no es posible resolverlo de forma directa. Como alternativa el CCN-CERT recomienda activar la opción de “Mostrar notificaciones de seguridad”.
- Abrimos la aplicación WhatsApp y nos vamos a los ajustes.
- Dentro de ajustes pulsamos en Cuenta > Seguridad.
- Habilitamos la pestaña para que nos muestre las notificaciones de seguridad.
Cada chat iniciado dispone de un código de seguridad único que asegura la comunicación de ese chat, cifrando las llamadas y los mensajes de extremo a extremo.
Este código de seguridad puede cambiar debido a que un contacto reinstala la aplicación, cambia de móvil o ha sido víctima de un ataque de este tipo.
2. Evitar que vean nuestros mensajes incluso si los borramos.
Cuando borramos un mensaje, conversación o grupo, este no desaparece si no que es marcado como libre pudiendo ser sobrescrito por otra conversación en un futuro, pero mientras tanto sigue estando en nuestro teléfono. Estas conversaciones “borradas” pueden ser extraídas mediante técnicas forenses.
La única solución para borrar de una forma más segura un mensaje o conversación que hayamos eliminado será desinstalar la aplicación y volverla a instalar. Tenemos que tener en cuenta que si disponemos de copias de seguridad estas no serán eliminadas mediante este proceso.
3. Evitar el uso de redes Wifi públicas.
Durante el establecimiento de conexión con los servidores de la aplicación WhatsApp intercambia en texto claro información sensible acerca del usuario, como puede ser:
- Sistema operativo del teléfono.
- Versión de WhatsApp.
- Número de teléfono.
Por lo tanto tenemos que evitar en la medida de lo posible el uso de redes Wifi públicas para usar la aplicación. Si nos vemos obligados a usarlas lo recomendable es hacer uso de una conexión VPN.
4. Evitar el robo de cuenta mediante acceso físico.
Si un atacante tiene acceso físico al teléfono puede emular un terminal y poder robarnos la cuenta mediante verificación por SMS o la verificación por llamada.
- En el caso de la verificación por SMS: si un atacante consigue nuestro teléfono y la previsualización de SMS se encuentra activa en la pantalla de bloqueo, podrá leer el mensaje de activación y traspasar la cuenta a otro terminal. Para evitar que esto pase tenemos que desactivar la opción de previsualización de mensajes en la pantalla de bloqueo.
- En el caso de la verificación por llamada: es más complicado ya que no podemos poner un patrón para desbloquear llamadas. Lo único que podemos hacer es recopilar los números utilizados por la aplicación para realizar las llamadas de verificación y bloquearlos desde el terminal.
WhatsApp almacena de forma local en el teléfono la base de datos de la aplicación, de manera que, si un usuario es capaz de acceder a ella, dependiendo de la versión hay herramientas que permiten el descifrado de los datos y por tanto el acceso a toda la información.
5. Otras medidas de seguridad.
No descargar la aplicación de páginas no oficiales
Muchos delincuentes intentan engañar a los usuarios para que se descarguen aplicaciones no oficiales, las cuales suelen infectar nuestro terminal. Ofrecen para ello las ultimas características de la aplicación, la posibilidad de espiar otras cuentas u obtener otros servicios que la aplicación oficial no incluye. No debemos caer en este engaño.
Suplantación de identidad utilizando WhatsApp Web
WhatsApp Web nos permite usar la aplicación de mensajería desde cualquier ordenador a través del navegador. Para activarlo hay que entrar en este enlace y escanear el código QR que aparece en la pantalla con nuestro terminal.
Los atacantes con falsas promociones o descuentos en productos intentan engañar a la víctima para que escanee un código QR para que le lleve directamente a aprovecharse de estas ventajas. Lo que en realidad está haciendo este atacante es robar las credenciales de inicio de sesión.
Facebook like WhatsApp
Cuando Facebook se hizo con WhatsApp por el 2014, los creadores de la aplicación aseguraron que seguirían trabajando de forma independiente a Facebook indicando, a través de un post en el blog oficial que “El respeto a su privacidad está codificado en nuestro ADN, y hemos construido WhatsApp en torno al objetivo de conocer un poco acerca de usted como sea posible.”
Esta política ha sido respetada hasta agosto de 2016 que, con una nueva actualización de la aplicación, si el usuario da su consentimiento, transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para “actividades diversas”. Los datos que compartirán son el de teléfono, contactos, hora de última conexión y los hábitos de uso de la aplicación.
Por último os dejamos unas recomendaciones de seguridad para los terminales móviles.
- Mantener el teléfono siempre bloqueado: para evitar el acceso a nuestra información si el teléfono cae en manos ajenas. Eliminando también las previsualizaciones de los mensajes.
- Cuidado con los permisos que solicitan las aplicaciones. Por ejemplo una aplicación de cámara de fotos no tiene que tener permiso para utilizar el teléfono.
- Conocer los riesgos de “rootear” o hacer “jailbreaking” al terminal ya que puede comprometer seriamente su seguridad.
- Desactivar las conexiones cuando no las estemos utilizando. Wifi, bluetooth, etc.
Para más información recomendamos leer el documento completo del CCN-CERT que puedes descargar aquí.