Es bien sabido que en internet hay que andarse con mucho cuidado, tras un correo, un anuncio atractivo o una publicación en redes sociales puede esconderse un ataque informático. Entre los contactos de WhatsApp —la aplicación más usada de España— se puede tener una sensación de falsa confianza, sin embargo en innumerables ocasiones se han denunciado riesgos de seguridad a través de esta aplicación. Ahora, se ha descubierto un fallo recientemente en la sección de estados que permite conocer la ubicación de un usuario.
Hay diferentes formas de exprimir al máximo la aplicación para llegar a conocer información de otros usuarios, de leer los mensajes nuevos que mandan otros usuarios sin que se enteren, e incluso se puede saber quién cotillea tus estados o bien cotillear estados de otro usuario sin que lo sepan. Pero en esta ocasión, es un agujero en los estados que permiten conocer dónde está un usuario de una forma sutil y certera.
Los estados llegaron a WhatsApp, inspirados por las Stories de Instagram, red social de la misma compañía, que a su vez eran una imitación de Snapchat. Las redes sociales siempre copiándose unas a otras para seguir la ola del momento. Sin embargo, lo que debería ser una forma de compartir curiosidades de forma temporal con los amigos, puede ser una trampa si se usa con malas intenciones.
Gaspar Cano advierte de este riesgo en un artículo en el blog El lado del mal de Chema Alonso, hacker español y miembro del Comité Ejecutivo de Telefónica. Cano enuncia que con el uso de enlaces en los estados es posible geolocalizar a un contacto en un momento determinado, una invasión de la privacidad para la que no se ha advertido a los usuarios.
Para quién no les haya dado uso nunca, pues no son de las funciones más populares de WhatsApp, los estados pueden ser vídeos e imágenes con elementos como texto o enlaces que se comparten a través de la imagen de perfil del usuario. Tienen una fecha de caducidad de 24 horas y cada uno puede ajustar a qué contactos permiten acceder a esa publicación.
Enlace con trampa
Cualquier persona puede compartir entre sus contactos un contenido de internet a través del estado. Seguramente lo haga también en Instagram y en otras redes como Twitter. El primer problema radica en si la persona que comparte el contenido aprovecha la tecnología para espiar a sus contactos.
Esta parte requiere ciertos conocimientos informáticos que no todo el mundo tiene, pero demuestra una vez más los peligros que puede haber tras un simple enlace. Redirigiendo a los contactos a una web ajena a WhatsApp, el pirata informático crear los que se conoce como una tabla en MySQL con el propósito de almacenar información personal como la geolocalización de las direcciones IP de las visitas. Es decir, una base de datos sobre la dirección IP de quienes entran en la web desde WhatsApp.
Con esas direcciones IP, conocen la localización de la persona. También se pueden recopilar otros detalles como el proveedor de internet que usa la persona, si se usa una red móvil o una conexión fija, "exponiendo la privacidad de navegación de los contactos de una manera ni autorizada ni solicitada" dice Cano.
WhatsApp da pistas
Si esto ya supone una invasión de la intimidad de las personas, el fallo de seguridad crece con la ayuda de la propia aplicación de mensajería. La diferencia con las demás plataformas sociales es que WhatsApp aporta mucha más información sobre las interacciones con ese estado.
Tras compartir el estado, su propietario recibe después un informe con todos los contactos que lo han visto y que han pinchado en el enlace. Lo más preocupante es que indica la hora exacta de esa interacción, y claro, el teléfono y nombre de la persona, algo que no hace Instagram, como se puede ver en la comparativa anterior.
Uniendo ambas bases de datos, el pirata informático puede saber quién ha entrado en el enlace en qué momento, y por extensión, saber dónde se encontraba esa persona en ese preciso momento. Puede parecer un recurso muy complicado para que cualquiera lo ponga en marcha, pero es sin duda una posibilidad que hay que tener en cuenta a la hora de usar esta función de WhatsApp.
Recomendaciones de seguridad
Gaspar Cano considera que se debe "hacer que el registro de accesos al estado de WhatsApp fuera menos "detallado", y hacerlo más similar al de Instagram". Para una aplicación que protege sus mensajes con cifrado de extremo a extremo dar tantos detalles sobre lo que hacen otros usuarios parece contradictorio. No obstante, hay que recordar que esto también sucede en los chats cuando una persona puede saber si otra está en línea o escribiendo y si ha leído un mensaje o escuchado un audio.
Por parte de los usuarios, pueden tomarse ciertas medidas, como desactivar las confirmaciones de lectura, un truco muy sencillo para evitar que la persona que ha publicado el estado sepa que lo has consultado. Otra opción es usar una VPN que protege los datos de navegación, entre los que está la geolocalización e impide que las webs puedan conocer esa información.
Sobre todo es importante comprobar siempre a qué enlace se está accediendo, en los estados de WhatsApp se puede ver el link completo, en Instagram se camufla más con un texto, pero revisarlo puede dar ciertas pistas de si es una web segura o no, algo que también se recomienda para el uso de códigos QR, tan populares en los últimos años.
También te puede interesar...
- Cuidado con este phishing hiperrealista: calca a tu navegador y solo hay una forma de detectarlo
- El phishing ruso que se hace pasar por WeTransfer para robar tus contraseñas
- La DGT alerta de phishing: una multa no pagada, el gancho de los hackers