23 noviembre 2019

¿Por qué WhatsApp nunca será seguro? - Pavel Durov

En mayo, predije (Pavel Durov) que las puertas traseras en WhatsApp se seguirían descubriendo, y un problema de seguridad grave seguiría a otro, como sucedió en el pasado [1].  Esta semana se encontró en silencio una nueva puerta trasera en WhatsApp [2].  Al igual que la puerta trasera anterior de WhatsApp y la anterior, esta nueva puerta trasera hizo que todos los datos de su teléfono fueran vulnerables a los piratas informáticos y las agencias gubernamentales.  Todo lo que un pirata informático tenía que hacer era enviarle un video, y todos tus datos estaban a merced del atacante [3].

WhatsApp no solo no protege sus mensajes de WhatsApp: esta aplicación se usa constantemente como un caballo de Troya para espiar sus fotos y mensajes que no son de WhatsApp.  ¿Por qué lo harían?  Facebook ha sido parte de programas de vigilancia mucho antes de adquirir WhatsApp [4] [5].  Es ingenuo pensar que la compañía cambiaría sus políticas después de la adquisición, lo que se ha hecho aún más obvio por la admisión del fundador de WhatsApp con respecto a la venta de WhatsApp a Facebook: "Vendí la privacidad de mis usuarios" [6].

Tras el descubrimiento de la puerta trasera de esta semana, Facebook intentó confundir al público alegando que no tenían pruebas de que la puerta trasera hubiera sido explotada por piratas informáticos [7].  Por supuesto, no tienen tal evidencia: para obtenerla, necesitarían poder analizar videos compartidos por los usuarios de WhatsApp, y WhatsApp no almacena permanentemente archivos de video en sus servidores (en su lugar, envía mensajes y medios no cifrados) de la gran mayoría de sus usuarios directamente a los servidores de Google y Apple [8]).  Entonces, nada que analizar, "no hay evidencia".  Conveniente.

Pero tenga la seguridad de que una vulnerabilidad de seguridad de esta magnitud seguramente ha sido explotada, al igual que la puerta trasera anterior de WhatsApp se había utilizado contra activistas de derechos humanos y periodistas lo suficientemente ingenuos como para ser usuarios de WhatsApp [9] [10].  En septiembre se informó que los datos obtenidos como resultado de la explotación de dichas puertas traseras de WhatsApp ahora serán compartidos con otros países por las agencias estadounidenses [11] [12].

A pesar de esta evidencia cada vez mayor de que WhatsApp es un honeypot para las personas que aún confían en Facebook en 2019, también podría ser el caso de que WhatsApp implemente accidentalmente vulnerabilidades de seguridad críticas en todas sus aplicaciones cada pocos meses.  Lo dudo: Telegram, una aplicación similar en su complejidad, no ha tenido problemas de gravedad en el nivel de WhatsApp en los seis años desde su lanzamiento.  Es muy poco probable que alguien pueda cometer accidentalmente errores de seguridad importantes, convenientemente adecuados para la vigilancia, de forma regular.

Independientemente de las intenciones subyacentes de la empresa matriz de WhatsApp, el consejo para sus usuarios finales es el mismo: a menos que esté de acuerdo con que todas sus fotos y mensajes se hagan públicos algún día, debe eliminar WhatsApp de su teléfono.

[1] - ¿Por qué WhatsApp nunca será seguro?
https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15

[2] - Se insta a los usuarios de WhatsApp a actualizar la aplicación de inmediato por miedo a espiar
https://www.independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-update-latest-spying-security-spyware-india-cert-nso-a9210236.html

[3] - Los usuarios de WhatsApp de Android e iOS ahora están en riesgo por los archivos de video maliciosos
https://in.mashable.com/tech/8573/whatsapp-android-and-ios-users-are-now-at-risk-from-malicious-video-files

[4] - Todo lo que necesitas saber sobre PRISM
https://www.theverge.com/2013/7/17/4517480/nsa-spying-prism-surveillance-cheat-sheet

[5] - NSA aprovecha datos de 9 grandes empresas netas
https://www.usatoday.com/story/news/2013/06/06/nsa-surveillance-internet-companies/2398345/

[6] - Brian Acton, cofundador de WhatsApp: 'Vendí la privacidad de mis usuarios'
https://mashable.com/article/brian-acton-whatsapp-interview/

[7] - Los hackers pueden usar una falla de WhatsApp en la forma en que maneja el video para tomar el control de tu teléfono
https://www.techspot.com/news/82843-hackers-can-use-whatsapp-flaw-way-handles-video.html

[8] - WhatsApp está almacenando datos de copia de seguridad sin cifrar en Google Drive
https://www.theinquirer.net/inquirer/news/3061660/whatsapp-is-storing-unencrypted-backup-data-on-google-drive

[9] - El hack de WhatsApp llevó a atacar a 100 periodistas y disidentes
https://www.ft.com/content/67a5b442-f971-11e9-a354-36acbbb0d9b6

[10] - Exclusivo: funcionarios gubernamentales de todo el mundo atacados por piratería a través de WhatsApp.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup-excl/exclusive-government-officials-around-the-globe-targeted-for-hacking-through-whatsapp-sources-idUSKBN1XA27H

[11] - La policía puede acceder a los mensajes de Facebook y WhatsApp de los sospechosos en un trato con los EE. UU.
https://www.thetimes.co.uk/edition/news/police-can-access-suspects-facebook-and-whatsapp-messages-in-deal-with-us-q7lrfmchz

[12] - Facebook, WhatsApp tendrá que compartir mensajes con el Reino Unido.
https://www.bloomberg.com/news/articles/2019-09-28/facebook-whatsapp-will-have-to-share-messages-with-u-k-police

No hay comentarios:

Publicar un comentario