miércoles, julio 22, 2015

Proteger WhatsApp a prueba de balas: Cómo evitar el robo de la cuenta de #WhatsApp

**************************************************************************************************
- PARTE 1: Cómo evitar que te roben la cuenta de WhatsApp
- PARTE 2: Cómo evitar que te espíen los mensajes de WhatsApp
- PARTE 3: Cómo mejorar la privacidad con WhatsApp

**************************************************************************************************

Esta semana la noticia con WhatsApp ha sido la del joven andaluz que ha sido detenido por la Guardia Civil acusado de espiar los movimientos de su pareja con un troyano instalado en un terminal que él mismo la entregó con el que leía los mensajes de WhatsApp. Uno de esos tantos que bien han podido ir buscando por Internet como espiar WhatsApp a su novi@, como los que me llegan a mi constantemente. Debido a esto, he querido preparar una serie de tres artículos para Proteger WhatsApp a Prueba de Balas.

Figura 1: Proteger WhatsApp a prueba de balas - Cómo evitar el robo de la cuenta

Este primero se lo voy a dedicar a "Cómo evitar que te roben la cuenta de WhatsApp",  el siguiente a "Cómo evitar que te espíen la cuenta de WhatsApp" y el tercero a "Cómo mejorar la privacidad de WhatsApp". Cada uno de ellos tiene una serie de riesgos, y una serie de soluciones - no siempre fáciles porque las tecnologías, por desgracia, no son siempre perfectas.
Con el robo de la cuenta de WhatsApp, como ya os dije en el último ejemplo en el que contaba con qué pocos permisos una app en Android puede robarte la cuenta de WhatsApp, no da acceso a las conversaciones anteriores, ni a las fotos enviadas o recibidas, ni a la agenda de contactos tan siquiera. Sí que da acceso, no obstante, a los mensajes que lleguen a futuro, a los nombres de los grupos a los que se pertenece, y al envío de mensajes suplantando a la víctima. Dicho esto, estas serían una serie de medidas que se pueden y deben tomar contra el robo de la cuenta.

1.- Protección del PIN de la SIM

WhatsApp utiliza un sistema de alta de cuenta en un dispositivo móvil utilizando un OTC (One-Time Code) enviado por mensaje SMS. Este código se va a enviar a la tarjeta SIM - o las tarjetas SIM duplicadas - que tenga asociado el número de teléfono. Si un atacante puede sacar tu tarjeta SIM y conoce el PIN entonces podrá configurar la cuenta de WhatsApp asociada a ese número en otro terminal. 

Figura 3: Códigos PIN y PUK de un tarjeta SIM en la provisión de la misma
Es muy importante que nadie conozca ese PIN, así que ten mucho cuidado con cuál pones y a quién se lo dices, que podría utilizarlo en tu contra.

Ataque que protege: Robo de WhatsApp por robo de SIM

2.- Protección del PUK de la SIM

El código PUK es un código de recuperación cuando se bloquea el código PIN de la SIM. Normalmente nadie se acuerda del código PUK de su tarjeta, pero tiene guardado este código en la caja del teléfono móvil con el papel que le entregaron el día que compró la SIM. Este código nadie lo cambia, a diferencia del código PIN que sí que puede ser cambiado por muchos. Si alguien accede a ese código PUK podrá bloquear la SIM y conseguir acceso con el código PUK.

Figura 4: Con el PUK se puede desbloquear
la SIM y nadie lo cambia

Guarda de forma segura ese código PUK, que no sea fácil para nadie encontrar su ubicación y tirarle una foto para robarte la SIM en un momento, y con ella la cuenta de WhatsApp.

Ataque que protege: Robo de WhatsApp por robo de SIM

3.- Utiliza tarjetas SIM no clonables

Como ya os conté en otro artículo, existen tarjetas SIM muy antiguas que permiten ser clonadas. Si tienes una tarjeta SIM desde hace muchos años - pero muchos - puede ser que alguien consiga sacarla, hacer una copia en unos segundos, y llevarse tu SIM

Figura 5: Clonador de tarjetas SIM antiguas

Con la copia conseguida, el atacante podría registrar la nueva SIM en otro terminal y con ella, por supuesto, la cuenta de WhatsApp.


4.- Protege los datos del contrato

Como ya vimos, una forma que utilizan los malos para robar los códigos OTP SMS de las operaciones bancarias en algunos países se basa en hacer un cambio de operador con datos robados. Para ello, se consiguen los datos del contrato de la SIM y se van a otro operador a pedir lo que se denomina SIM Swapping. Esto les permite tener una nueva SIM con el mismo número, pero en otro operador de telecomunicaciones.

Figura 6: Web para solicitar el cambio de operador de una SIM en O2 UK

Protege tu contrato para que nadie acceda a los datos necesarios para realizar una portabilidad a otro operador solo para robarte la cuenta de WhatsApp.

Ataque que protege: Robo de WhatsApp por ataque de SIM Swapping

5.- Evita conexiones GSM A5/0 o A5/1

Esta opción es de nota y solo para los muy pro. En el mundo del hacking de comunicaciones SDR-RTL, existe la posibilidad de capturar un mensaje SMS  si este está enviado por una conexión GSM que utilice protocolos de cifrado A5/0 o A5/1. En el primer caso es bastante evidente, ya que el protocolo A5/0 no lleva cifrado, pero en el caso de A5/1 se conoce desde hace tiempo como crackear el sistema de cifrado y robar las comunicaciones GSM - incluidos los SMS con los códigos de OTC de WhatsApp -.
Por supuesto, esta es de nota, y un atacante malo, malo, malo, malo, podría esperar a que situaras en alguna determinada zona geográfica con antenas antiguas con solo estos tipos de cifrado GSM disponibles. 

Ataque que protege: Robo de WhatsApp por robo de OTC por SMS con SDR-RTL

6.- Evita la previsualización de mensajes SMS en pantalla bloqueada

Los códigos OTC que envía WhatsApp pueden verse en pantalla, incluso con el terminal bloqueado, si está configurada la previsualización de mensajes. Es muy importante que no dejes que se previsualicen, al menos los mensajes SMS, para evitar el robo de la cuenta de WhatsApp y de otras muchas. Esto, como se explica en el libro de hacking iPhone & iPad se puede hacer en conjunción con Siri como se ve en el siguiente vídeo.


Figura 8: Un ejemplo de robo de cuenta de Gmail con previsualización de SMS

Ataque que protege: Robo de WhatsApp por previsualización SMS

7.- Bloquea los números de teléfono de WhatsApp de recuperación de voz

Esta también es otra de nota, y la verdad es que estamos intentando saber cuáles son todos los que utiliza WhatsApp en los diferentes países, para ayudar a evitar el ataque. La idea es que para un atacante es posible solicitar la recuperación de un WhatsApp vía llamada de VoIP (Voz sobre IP). Como no es posible bloquear el terminal para que no se puedan coger las llamadas, la alternativa es bloquear los números de teléfono que usa WhatsApp.


Figura 9: Al estar bloqueados los números de WhatsApp no se recibe la llamada de verificación

En las pruebas que hemos hecho, hemos recibido las llamadas de verificación desde estos números +1 (484) 652-8787 y +57 (4) 905-5110. Si hacéis más pruebas y me pasáis los números que os salen, los añadimos a la lista. La solución más drástica es la de activar el modo No Molestar y bloquear el terminal mientras que no se vaya a utilizar. Eso sí, no podrá recibir llamadas nadie.

Ataque que protege: Robo de WhatsApp por llamada de verificación

8.- Desactiva o protege el acceso remoto a tu buzón de voz

Las compañías de teléfono ofrecen un buzón de voz en sus sistemas que puede ser accedido remotamente. Si el atacante solicita la recuperación de WhatsApp vía llamada de verificación cuando tu terminal está apagado, entonces el código de recuperación quedará grabado en el buzón de voz. Si no has cambiado el código de acceso por defecto y el atacante puede llamar desde otro terminal a tu buzón de voz, podrá escucharlo.

Figura 10: Conversación entre Yoigo y José Rodriguez sobre este problema

Este el caso de Yoigo, que tiene un código por defecto 0000 y que permite a cualquiera que conozca el número de teléfono de la víctima, sabiendo que muchas personas no cambian el código, poder acceder al código. Una password por defecto con acceso remoto es un fallo de seguridad que pueden aprovechar los atacantes.

Ataque que protege: Robo de WhatsApp por llamada de verificación en buzón de voz

9.- Robo de WhatsApp por previsualización de iMessage

En las últimas versiones de iPhone & OS X - si eres usuarios de Apple -, se parean los mensajes SMS y las llamadas de voz entre iPhone y OS X. Es decir, recibes un SMS en iPhone, y este se parea con todas tus cuentas de iMessage. Si dejas tu equipo Mac OS X con la sesión cerrada, y alguien te solicita el código de recuperación, este te llegará al SMS y se sincronizará con iMessage en tu OS X.

Figura 11: Desactiva la previsualización de iMessage con la pantalla bloqueada de OS X

Si no has quitado la previsualización de iMessage en OS X, el atacante podrá verlo con la pantalla bloqueada y robarte la cuenta.

Ataque que protege: Robo de WhatsApp por robo de OTC con previsualización  OS X

Fin de la parte I

Estas han sido las medidas que he recogido para evitar que te roben la cuenta de WhatsApp, quedan muchas más medidas para evitar el espionaje completo de los mensajes de WhatsApp y mejorar la privacidad de la cuenta. Si se os ocurre alguna otra medida que creéis que merezca la pena citar, por favor, dejádmela en un comentario e intentaré actualizar el post con las nuevas protecciones que aportéis.

Saludos Malignos!

10 comentarios:

Andrei dijo...

Alguna posibilidad mas es que alguien te cogiera el movil y escaneara el código QR para la versión web del whatsapp y "espiarte".

Dodi A. dijo...

"Con el robo de la cuenta de WhatsApp, (...), no da acceso a las conversaciones anteriores, ni a las fotos enviadas o recibidas, ni a la agenda de contactos tan siquiera."
Si teniendo el móvil de la víctima le puedes extraer la tarjeta SD, creo que bastaría con copiar la carpeta de Whatsapp al terminal del atacante. Una vez metida la cuenta, Whatsapp te va a preguntar si quieres restaurar los mensajes de esa carpeta y de esta manera tienes acceso a los mensajes anteriores.

Anónimo dijo...

Lo que es curioso es que cada x tiempo te dice que esta creando una copia de seguridad cuando esa opción está desmarcada... a mi me han debido robar de todo

Anónimo dijo...

CHEMA SOS LO MAS VIEJO VEO TODOS TUS VIDEOS Y TODA LA INFO QUE VAS AGREGANDO DIA A DIA.. SALUDOS DESDE CORRIENTES ARGENTINA

acerswap dijo...

Con todos los respetos, Chema, lo de "proteger a prueba de balas" y "evitar el robo de la cuenta" que pones como titulo a la entrada me parece un poco de exceso de confianza por tu parte. Tu mismo deberías saber que en el mundo de la informática no existe la seguridad absoluta y quizás sería mas adecuado decir "como dificultar".

Por lo demás, muy interesante como casi todos tus posts. Muchas gracias por escribirlos.

Anónimo dijo...

chema que tipo de ataque es cuando en tu movil en un sitio en concreto, cada hora o asi te aparece en el movil que no reconoce la tarjeta y que pongas el pin. antena falsa?

Juan dijo...

pues a un familiar le llegó un mensaje al móvil con el código de activación de la app Snapchat, y ni es usuario ni conocía esta aplicación, ¿que paso? o se equivocaron al poner el numero de teléfono, o lo hicieron para molestar, espero que no le sigan llegando tonterías de estas por que si no tendremos que ir a denunciarlo.

Anónimo dijo...

A mi me robaron mi conversación con lo de whatsapp wep con el escaner y ahora no se como evitar que sigan haciendo eao , alguien me puede ayudar????

Loco dijo...

A mi me paso lo mismo, por favor si tuviste alguna respuesta manda algún link

Unknown dijo...

Cómo saber que están espiando tus conversaciones? Y si así es. Cómo lo arreglo? Gracias!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares