¿Os acordáis de ese servicio espía de WhatsApp que sería como demostración de la falta de privacidad del servicio? Lo hemos analizado con todo detalle, y aquí os traemos nuestras conclusiones.
En El Androide Libre somos de culo inquieto: cuando vemos algo que es interesante, no podemos evitar probarlo y buscar todas sus aristas para traerlo de primera mano y que seáis los primeros en saberlo. Por ello, en cuanto conocimos aquella aplicación espía que venía a demostrar las inseguridades de WhatsApp en materia de privacidad, no hemos podido resistirnos a probarla por nosotros mismos.
El enorme agujero de privacidad de WhatsApp: ocultar tu estado de conexión no sirve para nada
Antes de nada, y como ya hicimos en el primer artículo, os avisamos de que esta herramienta existe con fines de investigación: es responsabilidad vuestra el qué hacéis con ella, no nos señaléis ni a nosotros ni al desarrollador si la Guardia Civil llama a vuestra puerta. Os comentamos cómo funciona para dar a conocer esos fallos de privacidad de WhatsApp, no porque queramos crear un ejército de acosadores, y por ello hemos censurado toda referencia al servicio. Y sí, sabemos que la encontraréis igualmente si os ponéis.
¿Cómo funciona este espía de WhatsApp?
Las bases del servicio son sencillas: utiliza un número de teléfono para entrar en WhatsApp, y lo único que necesitamos es un ordenador conectado a Internet permanentemente. El número de WhatsApp que utilicemos estará permanentemente conectado a través del servicio, y podemos acceder a toda la información organizada a través de una interfaz web en ‘responsive’, algo que nos permite acceder al servicio web en cualquier parte.
Como servicio que montar por nosotros mismos, lo peligroso es lo sencillo que resulta montarlo aunque no tengamos conocimientos informáticos avanzados, y sólo necesitamos un número de teléfono que poder utilizar (para la verificación, cosa que no podemos saltarnos), y ese ordenador funcionando que controle el servicio.
Para el análisis que estáis viendo a continuación, hemos utilizado un número secundario de una línea de Movistar España y un VPS de DigitalOcean con Debian 8.1. Los contactos analizados son números reales con un uso real, con tal de hacer el análisis en las condiciones más cercanas a la realidad.
Visión general: donde está lo interesante
Una vez hemos terminado de configurarlo todo, y hemos introducido los teléfonos, todo comienza a funcionar automáticamente. Podemos ver de un vistazo todos los usuarios que tenemos controlados, utilizar los filtros para encontrar un número en concreto, y comprobar si todo está en orden.
Desde esa misma pestaña podemos ampliar cada perfil para acceder a información más detallada: ver los horarios de conexión exactos, los ajustes de privacidad, y un pequeño apartado que hace las veces de historial, incluyendo mensajes de estado y foto de perfil.
Para añadir a un contacto al servicio sólo tenemos que conocer su número de teléfono, ponerle un nombre como alias, y añadirlo a un grupo si queremos mantener un control más estricto de los contactos. También podemos importar los contactos a controlar desde Google Contacts, y hay otros parámetros que podemos manejar a través de las opciones de rendimiento.
Comparar: haciendo la vida más fácil a los ‘stalkers’
(En el contacto llamado ‘Derpowa’, está configurado que la imagen de perfil sólo se muestre a contactos como alerta el espía, por eso no se puede ver)
Si creíais que con eso termina nuestro repaso de la herramienta, estáis equivocados: detrás de ‘Compare’ se encuentra una herramienta muy interesante que nos permite comparar horas de conexión de los contactos a los que controlamos, como podéis ver en la captura.
Como os podéis imaginar, y si conoces a los contactos que incluyes en la comparación, puedes sacar conclusiones, y especular acerca de que estén en contacto o no. Es un poco pillarlo por los pelos, pero podría ser peligroso utilizado en determinados casos.
Timeline: el Twitter de los acosadores
¿Estás cansado de buscar perfil por perfil los cambios que ha habido? Estás de suerte entonces, porque este espía de WhatsApp también ha pensado en tí, y hay un apartado que contiene todas las actualizaciones en orden cronológico. Fotos de perfil, estados, opciones de privacidad… lo notifica todo por defecto, y hay que admitir que es un buen trabajo.
Estadísticas: comparaciones para todos
Por último, pero no menos importante, también tenemos un apartado que nos permite ver datos generales acerca del servicio y de nuestros contactos, como lo conscientes que pueden ser de su privacidad, el uso que le dan a WhatsApp a lo largo del día, y un largo etcétera que podéis comprobar en las capturas.
Una herramienta peligrosa en las manos incorrectas
Después de haber estado haciendo funcionar el servicio en nuestra infraestructura durante varias horas, hemos llegado a varias conclusiones claras. La primera conclusión es que es muy sencillo montar un servidor con este espía de WhatsApp y hacerlo funcionar, algo que no es bueno porque implica que mucha gente puede poner en marcha proyectos así.
La segunda es el poco consumo que emplea, según los datos que DigitalOcean nos ha proporcionado, y que podéis comprobar en la gráfica que os dejamos justo encima. Cualquiera puede montarlo, y mantenerlo funcionando las 24 horas del día supone un precio irrisorio: mi enhorabuena para el autor, pero siguen sin ser buenas noticias de cara a la privacidad.
La última es el titular que todos tenemos en la cabeza: las malas noticias que esto supone a la privacidad, dado que cualquiera puede mantener ese control sobre nosotros. No hay mucha diferencia con aquello de los metadatos de llamadas que registraban nuestros amigos de la NSA con programas como PRISM, y lo peor es que el equipo de WhatsApp no tiene en mente arreglar ese problema.
Esperemos que esta campaña por hacer visible el problema genere una solución por parte de la compañía de Facebook, porque todos estaremos de acuerdo con que este problema tiene que desaparecer.
Desde aquí me gustaría agradecer a Juan Francisco García y a Angel Sanchez su inestimable ayuda al participar en el experimento. El mensaje de bienvenida interno del VPS no caerá en el olvido.