Hackeo del WhatsApp: difícil, pero no imposible

Hackeo del WhatsApp: difícil, pero no imposible

Código QR, fotos maliciosas y agujeros de seguridad rezan en el historial de seguridad de la app de mensajería más usada en España

JOSÉ ANTONIO GONZÁLEZ

«Me han hackeado el Whatsapp, si alguien recibe un mensaje mío no soy yo». Así informaba Belén Esteban la pasada semana en sus redes sociales. WhatsApp es la aplicación reina en los smartphones españoles, nueve de cada diez usuarios tienen instalada esta app en sus dispositivos.

En mayo de 2011, expertos en seguridad avisaban de un importante problema de seguridad en la famosa aplicación de mensajería instantánea. Este problema hacía que las sesiones de usuarios pudieran ser «secuestradas». «A pesar de que WhatsApp ha tenido algún problema de seguridad hace tiempo, actualmente es un sistema bastante seguro y casi imposible de hackear», apunta a este periódico Santiago López, analista de ciberseguridad de Mundo Hacker.

Cinco años después de este importante escándalo y bajo el mando de Mark Zuckerberg, la famosa app de mensajería instantánea incorporó el cifrado de extremo a extremo que protege las conversaciones entre usuarios en la plataforma.

Una medida de seguridad más para evitar hackeos. Sin embargo, la firma especializada en seguridad informática ESET ha descubierto un nuevo sistema de hackeo a través del escaneo del código QR que se utiliza para iniciar sesión en WhatsApp Web.

«El punto débil de su seguridad es la parte de WhatsApp web y el exceso de confianza de los usuarios que pueden olvidar cerrar sus sesiones», apunta López. El inicio en la versión escritorio de la app se realiza a través de un escaneo de un código QR.

Esta forma de iniciar sesión la que está siendo aprovechada para hackear la aplicación de mensajería instantánea sin que los dueños de las cuentas sean conscientes. Los ciberdelincuentes hacen uso utilizan un sistema conocido como QRjacking, que utiliza técnicas de ingeniería social para asegurarse que la víctima escanea un código QR generado por el delincuente.

Al escanear el falso código, el usuario accede a una web diferente a la oficial. Además, los expertos de ESET recomiendan no usar, en la medida de lo posible, redes públicas o poco confiables, ya que el ataque se produce cuando el atacante está conectado a la misma red que sus víctimas. No obstante, «otro punto débil puede ser el descuido del propio usuario que deje el dispositivo desbloqueado, con un patrón o pin demasiado sencillo», apunta el analista de ciberseguridad de Mundo Hacker.

Otra forma de acceso es la suplantación del número de teléfono, pero para ello es necesario la clonación de la tarjeta SIM. «Esto es aún más difícil», asegura López. «Para obtenerlo, hay que acreditarse como titular de la línea en una oficina del operador. Además, cuando se solicita un duplicado, la tarjeta activa suele quedar desactivada, por lo que se detecta rápidamente», añade.

En este caso, la aplicación de WhatsApp desaparece del dispositivo del usuario.

Según reveló la protagonista el pasado sábado en Telecinco, Esteban recibió una imagen supuestamente enviada por la presentadora Ana Rosa Quintana y, tras hacer clic sobre la misma, un ciberdelincuente tomó control de su móvil, incluso intentando acceder a los servicios bancarios. Así consta en la denuncia.

En 2017, CheckPoint, una compañía israelí especializada en ciberseguridad, descubrió una nueva vulnerabilidad en WhatsApp y Telegram, que permitía a los ciberdelincuentes tomar el control de las cuentas en estas plataformas sin que el usuario se diera cuenta.

Los expertos de la compañía consiguieron crear una imagen ficticia, que, en realidad, era un archivo con código HTML malicioso. Una vez se abría en el navegador, el delincuente podía tomar el control total de la cuenta del usuario y robarla, acceder al historial de mensajes y a la galería multimedia del usuario y, además, mandar mensajes en su nombre.

La vulnerabilidad fue descubierta en marzo de 2017 fue solucionada rápidamente por ambas compañías. En la actualidad se desconoce si ha ocurrido un agujero de seguridad similar.

¿Suplantación de identidad?

El día después de su enlace, el domingo 23 de junio, la protagonista de la historia presentó una denuncia ante la Guardia Civil por la «usurpación de la identidad en mi teléfono», anunciaba en Instagram.

«En España, no existe un delito de suplantación de identidad´», apunta Leandro Núñez, socio abogado de Audens. En todo caso, lo correcto es denunciar ante las autoridades, ya que se producen otro tipo de delitos. «Sí existen determinadas conductas en las que se suplanta la identidad de otra persona como medio para cometer un delito. Así ocurriría, por ejemplo, si utilizamos sin autorización las claves bancarias de otra persona para transferirnos dinero (delito de estafa, que conlleva penas de prisión de seis meses a tres años, si supera los 400€); o si usamos «de forma insistente y reiterada», y sin autorización, los datos de otra persona para comprar productos o contratar servicios en su nombre (delito de acoso, que conlleva penas de prisión de tres meses a dos años)», apunta.

La Fiscalía, recuerda Núñez, entiende que hay «un incremento cada vez mayor de este tipo de conductas en foros, chats o redes sociales y, en general, en los medios de comunicación electrónicos con el evidente perjuicio que las mismas pueden generar en el normal desarrollo de la vida y actividad personal y profesional de quien es víctima de esa suplantación de identidad on-line; y por eso propone que se cree un delito específico para estos casos».

A la espera de la llegada de esa tipificación al código penal, Núñez se inclina por la «usurpación de identidad civil». «Para cometerlo no basta con crear un perfil de Twitter o Facebook con nuestros datos: como dicen los tribunales «usurpar el estado civil de una persona es fingirse ella misma para usar de sus derechos, es suplantar su filiación, su paternidad, sus derechos conyugales…»; por lo que crear un simple perfil no sería un delito, pero eso no quiere decir que sea legal», apunta el experto de Audens. «Si, en cambio, acceden a tu cuenta de Twitter o Facebook robándote las contraseñas, lo más probable es que cometan un delito de «descubrimiento y revelación de secretos», que tiene distintas penas en función de la gravedad de la conducta, que oscilan entre una simple multa y los cinco años de prisión», sentencia.