jueves, julio 23, 2015

Proteger WhatsApp a prueba de balas: Cómo evitar que te espíen los mensajes de #WhatsApp

**************************************************************************************************
- PARTE 1: Cómo evitar que te roben la cuenta de WhatsApp
- PARTE 2: Cómo evitar que te espíen los mensajes de WhatsApp
- PARTE 3: Cómo mejorar la privacidad con WhatsApp

**************************************************************************************************

Tras la primera entrada en la que intenté recopilar todas las protecciones que se deberían tomar para evitar que te roben la cuenta de WhatsApp, hoy quiero recopilar las medidas de seguridad que debes aplicar para evitar que un atacante pueda espiar WhatsApp. Algunas son medidas muy sencillas de aplicar, otras más complejas.

Figura 1: Cómo evitar que te espíen los mensajes de WhatsApp

Hay que tener en cuenta que como ya he dicho, todas estas medidas están para evitar que un atacante pueda acceder a los mensajes de tus conversaciones, así que ojo.

1.- Pon un código de desbloqueo al terminal móvil con autobloqueo

Tener un terminal móvil sin código de desbloqueo es un error garrafal que cualquiera podría aprovechar para acceder a los mensajes SMS de OTC para robar la cuenta, a los mensajes de WhatsApp completos durante el tiempo que tengan el terminal en sus manos y lo que es peor, podrían abrir una sesión de WhatsApp Web con tu app de WhatsApp en un segundo y monitorizar todas tus comunicaciones constantemente.

Figura 2: Código QRCode que se escanea desde la app de WhatsApp para tener una sesión WhatsApp Web robada

Pero durante esos segundos, también podría instalar un troyano para espiar todo lo que haces desde el terminal, así que si tienes un terminal sin código de desbloqueo, que es conocido por alguien más, o que es 1234, deberías cambiarlo ya. Si puedes, no te conformes con un PIN de cuatro dígitos y pon un código complejo, que como se explica en el libro de Hacking iOS, hasta con un truco tan sencillo como limpiar la pantalla con una toallita húmeda, el atacante podrá ser capaz de sacar el código mirando las huellas.

Usar el desbloqueo con huella dactilar puede estar bien para evitar ataques al passcode, pero recuerda que entonces alguien te puede forzar a ponerlo para desbloquear el terminal en contra de tu voluntad. Sea el método que hayas elegido - lo del patrón dibujando un camino entre los puntos es de lo más fácil de espiar con un ataque de shoulder surfing - acuérdate de poner un temporizador para que le terminal se bloquee al minuto automáticamente.

Ataques que protege:
2.- Poner una password de protección al arranque de la app

En WhatsApp no existe la opción de que se cierre la app automáticamente y se pida una clave de desbloqueo, algo que estaría genial tener por ejemplo integrado con Touch ID o la Biometría de Android, pero la propia WhatsApp en su web recomienda el uso para Android de las aplicaciones de protección de apps por contraseña.

Figura 3: Apps para proteger con password el acceso a las apps en Android

Ten cuidado que no todas funcionan demasiado bien, pero con una protección como esta podrás añadir una capa de seguridad extra para evitar que alguien te espíe tus mensajes de WhatsApp en un descuido o que te abra una sesión de WhatsApp Web.

Ataques que protege:
3.- Desactiva pre-visualización de mensajes con pantalla bloqueada

Esta es una medida de seguridad que ya salió en la primera parte de este artículo, pero no está demás volver a recalcar que si tienes la pantalla bloqueada y has configurado la previsualización de mensajes, cualquiera puede verlos. Sé que esta es una recomendación de perogrullo, pero en las últimas reuniones he podido ver los mensajes de mis compañeros.

4.- Actualizar el software del sistema operativo o pon Cyanogen

Los sistemas operativos Android adolecen de un ecosistema heterogéneo que hace que no todos los dispositivos móviles tengan soporte y actualización a las últimas versiones. En los sistemas operativos Android sobre todo, hemos visto bugs en el pasado que permiten explotar vulnerabilidades incluso remotamente, así que tenerlo actualizado a la última versión es siempre importante.

En el caso de iPhone esto ya ha sucedido en el pasado y hemos visto como se han podido hacer herramientas de jailbreak como JailbreakMe 3.0 que con visitar una web rompía toda la seguridad de iOS. José Selvi migro JailbreakMe a JailOwnMe para conseguir tomar control del terminal.

Figura 4: CyanogenMod con Android

Por supuesto, Android e iOS se actualizan para evitar estos bugs, así que ten siempre la última versión instalada y evitarás que alguien remotamente pueda meterte un troyano. Si estás en el caso de Android, donde un dispositivo no es compatible con nuevas versiones, entonces instala CyanogenMod, que no solo te da más opciones de privacidad y seguridad, sino que permite actualizar a nuevas versiones independientemente de si el fabricante ha puesto la actualización disponible o no.

Ataques que protege:
- Saltarse el passcode de iOS en versiones antiguas
- Instalación de troyanos para espiar vía exploits
5.- Actualizar la aplicación de WhatsApp

No solo hay que actualizar el sistema operativo y la app de WhtasApp debe ser actualizada a la última versión. En las últimas versiones de WhatsApp se ha metido un sistema de cifrado de mensajes entre terminales muy seguro, que hace que las comunicaciones entre ellos no se puedan capturar como se hacía en las versiones antiguas con herramientas como WhatsAppSniffer o WireShark-WhatsApp.

Figura 5: Antiguo WhatsAppSniffer

Esto es especialmente común en terminales con jailbreak o rooting que tienen apps piratas o en sistemas operativos antiguos en los que no funcionan las nuevas apps, por lo que se debe actualizar primero el sistema operativo para luego poder actualizar la app.

Ataques que protege:
- Espiar mensajes de WhatsApp con la red WiFi
6.- Cifra el sistema completo en Android y evita iPhone 4 & iPhone 5c

En los sistemas operativos Android se puede hacer un cifrado completo del sistema operativo, haciendo que no arranque sin que no se conoce cuál es la clave de desbloqueo. Esta es una opción fantástica que evita que alguien pueda robar el terminal para hacer un análisis forense del mismo y sacar de él las conversaciones de WhatsApp.

Figura 6: Cifrado de disco en Android

En el caso de iPhone, el cifrado de los datos de los usuarios dependen del passcode. Si tenemos un terminal con iPhone 4S o superior, no hay forma de meterle mano al cifrado sin tener el passcode, un equipo pareado o acceso a un backup en la nube. Ha habido un buen número de casos en los que no se ha podido sacar la información ni judicialmente.  Si tienes un iPhone 4, se puede hacer jailbreak sin passcode, y por tanto se puede acceder a la información, meter un troyano, etcétera. Nota: Parece que el FBI tiene un exploit similar para iPhone 5C, así que habría que evitarlo también, ya que existe.

Ataques que protege:
- Saltar el passcode en iPhone 4
- El FBI compró un exploit para el iPhone 5C
- Análisis Forense de dispositivo para extracción de datos del dispositivo
7.- No conectes tu equipo que no sea de confianza y fortifica el de confianza

Cualquier conexión a un PC puede significar que le estés dando acceso al sistema de ficheros completo al PC, y eso permitiría a un atacante poder meter un troyano o llevarse los ficheros de WhatsApp. Esta conexión se puede quedar para siempre, así que aunque el atacante no haga nada la primera vez, si existe un pareado entre ambos podrá utilizarlo en el futuro para troyanizar el dispositivo.


Figura 7: Tu iPhone es tan inseguro como tu Windows

Hemos visto software de espionaje que troyanizaba los iPhone desde un equipo Windows o Mac OS X al que se haya pareado el terminal para hacer, incluso, el jailbreak al iPhone antes de meter el troyano. Si tienes un equipo de confianza al que conectas normalmente tu dispositivo, tenlo muy asegurado, porque desde él te pueden destrozar la seguridad del dispositivo. Además, alguien maliciosamente podría incluso querer acceder a los mensajes borrados de WhatsApp. En la última versión de WhatsApp para iPhone, la base de datos sigue sin cifrar.

Ataque que protege:
- Espionaje de WhatsApp en iPhone mediante instalación de Troyano
- Espionaje de WhatsApp en Android mediante instalación de Troyano
- Acceder a base de datos de WhatsApp de un iPhone pareado
- Recuperar mensajes borrados de WhatsApp en iPhone
8.- Cifra el backup de tu dispositivo en tu PC

Tanto si tienes Android, como si tienes iPhone, cuando hagas un backup del dispositivo en tu computadora personal, utiliza las opciones de cifrado del mismo. En esa copia de seguridad van los datos de WhatsApp. Para un atacante que tenga acceso al sistema de ficheros del PC, robar los datos desde el backup puede ser mucho más sencillo que hacerlo desde el teléfono.

Figura 8: Opción de cifrar el backup de iTunes

Además, en el pasado, yo he podido comprobar cómo a través de eMule es posible acceder a los ficheros de WhatsApp de backups de iPhone sin cifrar guardados en un equipo en el que se ha compartido por la red P2P.

Ataque que protege:
- Acceder a base de datos de WhatsApp en la copia de seguridad de iTunes
- Acceder a bases de datos de WhatsApp vía e-mule

- WhatsApp mantiene sin cifrar la base de datos en iPhone
9.- Pon Verificación en 2 pasos en la nube que uses de backup

Si tienes un sistema de backup en la nube tipo Apple iCloud (usado por iPhone y por WhatsApp para guardar las copias de seguridad) y alguien es capaz de robarte el usuario y la contraseña, podrá estar monitorizando todos tus mensajes de WhatsApp - que también están en la nube - sin que tú te des cuenta, accediendo directamente a ellos.


Figura 9: Robo de datos de backup de iCloud por no tener Verificación en dos pasos

Este es el caso que sucedió, por ejemplo, en el Celebgate con el robo de fotografías de famosas, y del que yo hice una demo en el programa de TV de El Hormiguero. Funciona de igual forma si no tienes verificación en dos pasos en el backup de Android en la nube, así que configura un segundo factor de autenticación en tus identidades, que en el caso de Apple es Verificación en dos pasos. Por supuesto, antes de esto, tienen que haberte robado las cuentas de iCloud o Gmail, por lo que ten cuidado dónde introduces las credenciales y estáte alerta a frente a los ataques de Spear Phishing.

Si quieres que se lleven la menor cantidad posible de datos en caso de pérdida, comprueba si tienes backup de WhatsApp en iCloud, y si puedes, elimínalo tal como se explica aquí: Eliminar backup de WhatsApp de iCloud.

Ataque que protege:
- Espionaje de WhatsApp desde copia de seguridad en la nube
- Robar el backup de iPhone en iCloud con iLoot
10.- Elimina el backup de WhatsApp en iCloud

Si no quieres tener problemas con el backup, puedes eliminar las copias de seguridad que se hacen periódicamente en iCloud. Para hacerlo puedes seguir estos pasos: Cómo eliminar el backup de WhatsApp en iCloud.

Figura 10: Eliminar el backup de WhatsApp en iCloud

Ataque que protege:
- Espionaje de WhatsApp desde copia de seguridad en la nube
- Robar el backup de iPhone en iCloud con iLoot
11.- Cuidado con la instalación de apps a la ligera en Android y en iPhone con Jailbreak

Ya hemos visto apps en el pasado que, con pocos permisos podrían robar la cuenta de WhatsApp, pero lo peor es que con unos pocos permisos más se pueden llevar tu base de datos de WhatsApp o ser directamente un troyano. En el pasado hemos visto apps creadas para robar bases de datos pretendiendo ser juegos y cómo para un atacante es posible crear una apk maliciosa con Metasploit que controle el terminal remotamente y robe el WhatsApp, así que mucho ojo con qué apps te instalas y de donde, que hay markets muy peligrosos.

Figura 11: Descripción de la app que simulaba ser un juego para robarte el WhatsApp

Cuanto menos y más conocidas, mejor, que además hemos visto que las apps pueden ser vendidas al mundo del cibercrimen y volverse maliciosas. Por supuesto, si son apps que encima son para manipular tu WhtasApp, menos aún. 

Ataques que protege:
- Robar el WhatsApp con una aplicación que simula ser un juego
- Instalar una apk maliciosa para robar el WhatsApp en Android
- Robar cuenta de WhatsApp con apps maliciosas de pocos permisos

- Espiar los mensajes de Whtasapp con un troyano en iPhone
Espionaje de WhatsApp en Android mediante instalación de Troyano
12.- Evita conexiones 2G/Edge/GPRS

Cuando un terminal móvil busca una antena de comunicaciones para conectarse a la red, busca la mejor opción. Cuando hay 4G mejor que cuando hay solo 3G y mejor 3G que usar tecnologías 2G/Edge/GPRS. En algunos terminales se puede forzar a conectarse solo por tecnologías 3G/4G - en otros no. Si un terminal permite conexiones 2G, puede ser forzado por un atacante a conectar a una antena 2G de alta potencia que anule el resto de las redes.

Figura 12: Capturando el tráfico de un iPhone con un ataque OpenBTS.
Se explica en detalle en el libro de Hacking iOS

Este ataque, basado en estaciones base falsa, solo se puede hacer si el terminal permite conectarse a redes 2G/Edge/GPRS ya que en estos casos no se valida la red, y con que la estación base dé el nombre de la red que el terminal conoce, éste se conectará. A partir de ese momento se puede capturar todo el tráfico GSM, GPRS, Edge y reenrutarlo hacia Internet. Es otra protección de nota, pero que no quería dejarla pasar, porque es otra forma en la que te pueden robar los mensajes si tienes una versión antigua de WhatsApp.

Ataque que protege:
Espiar los mensajes de WhatsApp por ataque de estación base falsa
13.- Utiliza una Red Privada Virtual (VPN) en tus conexiones de red

Por último, la recomendación final es utiliza una VPN en tus conexiones iPhone para evitar al máximo la captura del tráfico de red, ya sea mediante estación base falsa o mediante una red WiFi comprometida. Esta es una recomendación que no debes dejar de aplicar a todas tus aplicaciones que se conecten a Internet.

Figura 13: Cliente VPN de Hide My Ass para iPhone

Por supuesto, lo recomendable es que el servidor VPN que uses sea tuyo o de mucha confianza, ya que es también un "man in the middle". Protege tus conversaciones de WhatsApp con una VPN.

 Ataques que protege:
Espiar mensajes de WhatsApp con la red WiFi
Espiar los mensajes de WhatsApp por ataque de estación base falsa
14.- Pon un Antivirus y revisa a ver si alguien estaba espiándote

Como ya se ha dicho antes, una forma de protegerse contra la instalación de software de espionaje es la instalación de un Antivirus en Android y no dejar que nadie te haga el jailbreak o te instale apps en tu iPhone sin tu permiso. Busca un antivirus profesional para Android - ten cuidado con los supuestamente gratuitos.

Figura 14: Troyano para Android que espía WhatsApp

Además, si tienes sospechas de que alguien de tu entorno pueda haber estado espiando tu teléfono - y tus mensajes de WhatsApp, te recomiendo que mires a ver si algún correo electrónico de la persona que sospechas estaba en la base de datos de mSpy.


Figura 15: Cómo funciona un troyano espía en Android o iPhone

Que no esté no garantiza que no te estuviera espiando, pero si está en la base de datos deberías llevar el terminal cuanto antes a hacer un análisis forense.

Ataques que protege:
- Robar el WhatsApp con una aplicación que simula ser un juego
- Instalar una apk maliciosa para robar el WhatsApp en Android
- Robar cuenta de WhatsApp con apps maliciosas de pocos permisos

Espiar los mensajes de Whtasapp con un troyano en iPhone
15.- Activa el cifrado extremo a extremo y verifícalo

Con la nueva versión de WhatsApp existe un sistema extremo a extremo que cifra todos los datos, así que asegúrate de que lo tienes instalado y si tienes duda, verifica la clave de la persona con la que quieres tener una conversación privada, tal y como se explica aquí: Cómo verificar el cifrado extremo a extremo de WhatsApp.

Fin de la segunda parte

Hasta aquí la segunda parte de esta serie. Si tienes alguna protección extra a añadir que quieras que añada al artículo, lo haré encantado. En la tercera parte toca hablar de cómo mejorar la privacidad de WhatsApp para evitar stalkers y acosadores.

Saludos Malignos!

20 comentarios:

Anónimo dijo...

Chema, Saludos desde Bogota, muy buen apartado sobre seguridad en WhatsApp, gracias por tan valioso aporte.

Arul dijo...

THUMBS UP!

Anónimo dijo...

Muy interesante. ¿Entonces consideras que cyanogen es medianamente confiable?

Gracias, saludos.

Anónimo dijo...

Chema, ¿una rom puede albergar malware?

Inseguro y Navegando dijo...

Madre mía!
Según la info de las tres partes soy un camicaze >.<
Esto requiere su tiempo...

Salu2!

Anónimo dijo...

¿Es más seguro Telegram o pese a lo qué dicen es igual?

Gracias.

WhatsApp dijo...

Muy dificil cumplir con todos los requisitos para estar seguro, habra que ser cuidadoso. Saludos.

SUP dijo...

Hola Chema, me he interesado recientemente por la seguridad de las conversaciones de whatsapp, el caso es que todo esto que dices es cierto y es muy recomendable minimizar los riesgos de intrusión para todos esos métodos, pero lo cierto es que haciendo poco esfuerzo en la búsqueda de que herramientas permiten leer mensajes de un whatsapp ajeno he encontrado que hay varias aplicaciones o programas que usan un método, que si no entiendo mal, porque no soy un experto en el tema, lo que hacen es que crean un servidor whatsapp falso, se introduce el número de teléfono y el país y con eso es suficiente para ver todas las conversaciones de ese número sin necesidad de entrar en contacto ni introducir ningún tipo de software en el terminal objetivo. Parece que contra eso no hay manera de prevenir o bloquear un ataque de ese tipo y lo único que puede uno esperar es no ser objetivo de personas motivadas a hacerlo. Me preguntaba entonces si al menos habría algún indicio de que alguien observa mis conversaciones por este método.

SUP dijo...

Me disculpo, que pardillo soy, me he informado mal, al parecer ese tipo de programas resultan ser un timo.

Anónimo dijo...

Si me han cogido el móvil y tengo la certeza de que a través de whatsapp web me están viendo los mensajes y demás, ¿cómo puedo hacer para cortar ese pirateo? para que dejen de fisgar.

Osiel Orozco dijo...

Mejoren que sea menos requisitos

Anónimo dijo...

Estoy segura de que espían mi whatsapp, he buscado la dirección de correo y aparece en mSpy, ¿Qué puedo hacer para evitar que me sigan espiando?. Tengo acceso por huella digital, contraseña para el whatsapp y antivirus ..... ¿Qué más puedo hacer?.

Muchas gracias

Anónimo dijo...

Y como me protejo de wasap dog? Alguien me espía por ese sistema

Anónimo dijo...

Como puedo hacer para que no me usen el whatsapp desde whatsapp web, porque ya me sacaron el código qr y me lo están usando y me gustaría saber si se puede bloquear esa opcion desde el cel

reparacion electrodomesticos dijo...

Por lo que veo es fácil hackear un teléfono... vaya tela, un usuario ''normal'' por así decirlo no suele tener estas medidas de seguridad, debería optimar de inicio la seguridad.

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Toni dijo...
Este comentario ha sido eliminado por el autor.
Roxy dijo...

A mi mi pareja me hackeo forsadamente ..y sabe todos mis chats yo lo bloquee con eso basta?para q no me espíe mas?

die dijo...

como puedo proteger mi watsapp? ya que estoy siendo espiado,con programaas de windows me hackearon el watsapp y ven mis conversaciones desde una pc

Invisible dijo...

Hola Necesito ayuda. Tengo puesta privacidad en mi whatsapp solamente pueden ver mi ultima conexión mi lista de contactos, pero hay una persona que me está espiando y puede aceder a un listado mi todas mis conexiones diarias y no sé como protegerme. Puedes ayudarme ? existe algún programa o algo para impedir que nadie que no esté en mi lista pueda ver mi estado y última conexión ?

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares