viernes, julio 24, 2015

Proteger WhatsApp a prueba de balas: Fortificar la privacidad de #WhatsApp

**************************************************************************************************
- PARTE 1: Cómo evitar que te roben la cuenta de WhatsApp
- PARTE 2: Cómo evitar que te espíen los mensajes de WhatsApp
- PARTE 3: Cómo mejorar la privacidad con WhatsApp

**************************************************************************************************

En este artículo toca hablar de la tercera parte de la serie dedicada a Proteger WhatsApp. En las partes anteriores se ha hablado de Cómo proteger WhatsApp para evitar que te roben la cuenta y de Cómo proteger WhtasApp para evitar que te espíen los mensajes. Hoy toda enumerar las medidas para Fortificar la privacidad en WhatsApp.

Figura 1: Fortificar la privacidad de #WhatsApp

Existen muchas personas que, sabiendo que la víctima utiliza WhatsApp, usan técnicas para monitorizar la actividad de su víctima, con el objetivo de sacar información de su vida personal en todo momento en base a horarios de uso de WhatsApp, a las fotografías y mensajes que pone y a si está o no agregado un determinado número de teléfono en la agenda de contactos de la víctima.  No todas esas opciones se pueden bloquear, porque algunas son intrínsecas al funcionamiento de la tecnología detrás de WhatsApp, pero otras se pueden controlar un poco. Vamos a ver algunas de las que sí se pueden controlar.

1.- Privacidad de tu número de teléfono: Bórralo de Internet

Probablemente tu número de teléfono lo cambies pocas veces en tu vida, así que procura que su difusión sea limitada. Es más que probable que en tu tarjeta de visita lleves tu número personal y que lo hayas asociado como segundo factor de autenticación a muchas cuentas, así que extrema las precauciones por donde lo publicas, ya que también es tu número de WhatsApp.

Evita ponerlo en anuncios públicos de venta de cosas o de solicitación de servicios - como en los casos de contactos "adultos" que yo contaba o en mensajes públicos en las redes sociales de ligar. Si lo tienes configurado en Facebook, no solo fortifica tu cuenta de Facebook, sino que además revisa las opciones de privacidad para que nada más que tus amigos, quién tu quieras, o nadie, pueda acceder a esa información.

Figura 2: ¿Quién puede consultar tu número de teléfono en Facebook?

Si tienes un iPhone con Siri activado con el teléfono bloqueado y has puesto tu información personal en iOS, cualquiera puede preguntarle a Siri ¿Quién soy yo? y le dará tu número de teléfono personal asociado a ese dispositivo, así que asegúrate de si quieres tener Siri activado o no con el dispositivo bloqueado o no.

Por último, revisa si está publicado en sitios de Google. Hay bases de datos como Infobel que siguen manteniendo una gran cantidad de números de teléfonos almacenados, así que solicita el borrado del mismo en Infobel, y si está en el índice de Google - que se te puede quedar indexado solo por renovar el WhatsApp vía web - también. No dejes que todo el mundo sepa tu número de teléfono si no es tu deseo, ya que te puedes tener problemas de todo tipo, no solo de vigilancia de WhatsApp.

Ataques protege:
- Maligno dominante busca sumisa de buen ver
- El caso del aspirante a bombero que ligaba por Badoo
- Acceso a información personal del dueño de un iPhone con Siri
- Descubrir el teléfono de alguien vía Google e Infobel.
- WhatsApp tiene problemas con la indexación de Google y Bing
- Haz footprinting a tus vecinos
2.- Controla la fotografía y el estado que pones en tu perfil

Como regla básica, limita en las opciones de WhatsApp quién puede o no puede ver tu fotografía y tu mensaje de estado en WhatsApp. Esto no ha podido hacerse siempre, pero desde hace ya muchas versiones sí que es posible controlar esto. Hace tiempo también existió un proyecto llamado WhatsApp Voyeur que permitía ver todas las fotografías de cualquier número, pero se cerró. No obstante, desde la publicación de WhatsApp Web se hicieron públicos dos fallos que permiten a cualquier vigilante monitorizar la fotografía y el estado incluso sin que tengan permiso

Figura 3: Abajo a la derecha sale información de las opciones de privacidad de foto y estado

Estos fallos parece que aún no han sido subsanados, y herramientas como WhatsSpy-Public se aprovecha de ellos para sacar esa información de la persona vigilada, así que no pienses en ningún momento que porque no tengas a la persona en tus contactos y hayas configurado la privacidad de la foto y el estado ya no va a poder ver esos datos, así que asume que tu foto y tu mensaje de WhatsApp son públicos.

Figura 4: Configuración en WhatsApp de quién puede ver foto y estado

En el caso de las empresas, el que un atacante pueda conseguir fácilmente el número de teléfono de todos tus empleados, puede ser utilizado para convertir WhatsApp en una fuente de datos OSINT para su ataque. Ya vimos en el pasado como una persona, monitorizando esta información una herramienta como WhatsApp Intelligence, puede crear una base de datos para saber quién y cuándo, y lo que es más importante, qué está pasando.

Figura 5: Monitorización constante de estados con WhatsApp Intelligence

Informa a tus empleados de que la información que pongan por WhatsApp puede estar siendo monitorizada por un atacante, para que intenten no dar ningún dato que pudiera ser usado en contra de la empresa.

Ataques que protege:
- Cómo te pueden controlar por WhatsApp con WhatsSpy-Public
- WhatsApp como fuente de datos OSINT
3.- Control de las horas de conexión en WhatsApp: Cuentas borradas, cuentas bloqueadas

Esta es una de las cosas más difíciles de evitar ya que hay diferencia entre si una cuenta está bloqueada o si una cuenta NO está en la agenda de contactos, y en cualquier caso siempre van a poder saber a qué horas estás conectado a WhatsApp o no. Esto es usado por muchos acosadores cruzándolo con datos de varias personas, es decir, intentan sacar patrones y horarios de conexión entre dos personas cruzando sus estados de conexión. Herramientas como WhatsSpy-Public y WhatsDog permiten monitorizar en todo instante a qué horas está conectada una persona y es difícil evitar esto bloqueando en WhatsApp la cuenta del stalker.

Figura 6: WhatsDog monitoriza las conexiones de una cuenta de WhatsApp

Cuando una persona usa WhatsApp Dog para monitorizar los horarios de conexión de otra persona puede utilizar su cuenta habitual de WhatsApp. Si la víctima sabe cuál es esa cuenta y la bloquea, entonces el espía NO podrá:
- Ver la foto de perfil de contacto: No verá la fotografía
- Ver el estado de la persona: Verá un estado vacío
- Ver el horario de última hora en línea: No saldrá
- Saber si está online ahora mismo: No saldrá la información de "online" nunca
El atacante, entonces, podrá hacer varias pruebas para saber si está bloqueado o simplemente le han borrado de la agenda de contactos. La primera de ellas sería saber cuál es la configuración de privacidad de la cuenta de su víctima usando una nueva cuenta de WhatsApp para intentar ver:
- Si tiene acceso a la foto
- Si tiene acceso al estado
- Si tiene acceso la última hora en línea
Estas tres características de privacidad las puede tocar cualquier usuario en WhatsApp y se pueden sacar un buen montón de conclusiones al respecto con estas pruebas:
- Si tiene acceso a la foto desde esta nueva cuenta: Eso quiere decir que la víctima tiene configurada la foto para "Todo el mundo" y que él está bloqueado en su cuenta de WhatsApp habitual.
- Si tiene acceso al estado desde esta nueva cuenta: Esto quiere decir que la víctima tiene configurada el estado para "Todo el mundo" y que él está bloqueado en su cuenta de WhatsApp habitual.
- Si tiene acceso a "Last Seen / Última hora en línea" desde esta nueva cuenta: Esto quiere decir que la víctima tiene configurada la opción para "Todo el mundo" y que el atacante está bloqueado en su cuenta de WhatsApp habitual.
Ahora bien, si desde esta nueva cuenta no se puede ver nada de eso, entonces puede ser que la víctima haya configurado que esos datos, es decir, Foto, Estado y Última Hora En linea, estén solo para sus contactos. Sin embargo, hay algo que no puede configurar, y es si está Online o no.

Figura 7: Configuración de comparticiíon de Última hora en línea

Si con la cuenta habitual del atacante sale online o no periodicamente entonces es simplemente que no está en los contactos, pero si nunca sale online en la monitorización con WhatsApp-Spy o WhatsDog, entonces es que la víctima ha bloqueado esa cuenta. Al atacante le basta con usar otra cuenta de WhatsApp y podrá monitorizar si se conecta o no, porque:
- Cuando una cuenta está bloqueada, esta no puede ver si está online o no otra cuenta.
- Cuando una cuenta no está en los contactos siempre puede saber si otra cuenta está o no online.
Como consecuencia de esto, aunque la víctima haya establecido el valor de "Última hora en Línea" para nadie, o solo para sus contactos, como el atacante utiliza una cuenta que periódicamente monitoriza si está online o no, siempre puede saber cuándo fue la última vez que se conectó, que será la última vez que estuvo online.  Lo curioso es que, si configuras que nadie vea cuándo fue la última vez que estuviste online, tú no serás capaz de ver la última vez que alguien estuvo online, con lo que ganas poco de privacidad y pierdes usabilidad.

Dicho esto, WhatsApp no permite bloquear que se consulte o no si estás online para gente que no es tu contacto, y debería permitirlo en futuras versiones, ya que como se ve, usando una nueva cuenta siempre te pueden controlar. De hecho, puedes estar controlado ahora mismo sin saberlo.

Actualización: Con el funcionamiento de los contactos bloqueados en los grupos, es muy sencillo saber si te han bloqueado o no, basta con intentar agregar al contacto a un grupo y ver el resultado.

Ataques que protege:
- WhatsApp como fuente de datos OSINT
Cómo te pueden controlar por WhatsApp con WhatsSpy-Public 
4.- Doble check azúl: Configurar si has visto el mensaje o no

Desde que salió la opción de ver si se ha visto el mensaje o no, hay una presión brutal por parte de muchas personas que se ven agobiados con esto. A día de hoy es posible deshabilitar el doble check azul, perdiendo la posibilidad de ver el doble check azul de otras personas, pero existen algunos trucos para tenerlo activado y que no se manden los checks.

Figura 8: Deshabilitar el envío de la confirmación de lectura del mensaje

Muchos de los trucos anteriores, como deshabilitar Internet o usar tweaks en dispositivos con jailbreak/rooting ver los mensajes y apagar la app pueden funcionar,  pero es cuestión de tiempo que WhatsApp lo arregle y dejen de funcionar. Sin embargo, se pueden usar las opciones de previsualización dentro de la app y un truco que me contaron - mil gracias, vales un millón de Bitcoins - que ayuda ver todos los mensajes en iPhone sin que se muestre el doble check azul y es utilizar el Notification Center de iOS.

Figura 9: Mostar 10 mensajes en el Notification Center de iOS

Para ello, hay que configurar la aplicación de WhatsApp para mostrar los últimos 10 mensajes en el Notification Center de iOS y listo. Se podrán leer los mensajes sin que llegue ninguna alerta, y así no se está sometido a ninguna presión de "has leído el mensaje, contesta".

Figura 10: WhatsApp Widget en Android

En Android, una muy buena opción es configurar el Widget de WhatsApp para ver en el escritorio los mensajes recibidos. Estos mensajes no envían nunca el doble check azul y ayudan a mantener la privacidad del receptor.

Figura 11: Enviar conversación de WhatsApp por email

Un último truco que sí que funciona muy bien para poder ver todos los mensajes, e incluso los contenidos multimedia, consiste en enviar la conversación por e-mail. La app de WhatsApp enviará toda la conversación en un fichero TXT adjunto, junto con los archivos que se hayan enviado por el chat sin enviar el doble check azul.

Ahora, en la nueva versión de WhatsApp ya se pueden marcar como No leídos los mensajes - además de silenciar a un contacto -  por lo que tendremos una nueva experiencia de usuario con estos mensajes y el doble check azul.

Ataque que protege:
Cómo te pueden controlar por WhatsApp con WhatsSpy-Public
- WhatsApp como fuente de datos OSINT

Actualización: Existen trucos, utilizando los archivos de audio y las opciones de los grupos, para saber si un mensaje ha sido leído o no, y con la última opción de eliminar mensajes remotamente, se puede saber si el destinatario lo ha leído durante los primeros 7 minutos o no.

Además, con la opción de los grupos creados por terceros, se podría crear un servicio como Desbloquéame que permitiera a un emisor saltarse el bloqueo de WhatsApp. En el vídeo se ve una Prueba de Concepto.



Figura 12: PoC de Desbloquéame WhatsApp

5.- Guardar fotos y vídeos en el carrete automáticamente

Otra de las opciones que me gusta recordar es que si descargas automáticamente el contenido multimedia en tu carrete, y este está sincronizado para hacer backup en alguna carpeta con alguna herramienta, entonces no vas a tener control de que lo se está guardando. Es mejor dejar el contenido en el chat y manualmente guardarlo en el carrete.

Figura 13: Opción de guardar archivos multimedia en el carrete

Además, me gustaría recordad que las fotos que se ponen en los perfiles de WhatsApp tienen metadatos, pero no los originales, ya que WhatsApp pone sus propios metadatos a todas las fotografías, así que nunca podrás sacar de ahí algo válido. También se borran los metadatos de las fotos que se envían por el chat, pero esto no garantiza que se eliminen los metadatos de todos los tipos de documentos, así que ten cuidado con qué información envías.

6.- Utilizar una conexión con VPN

El uso de una conexión VPN no solo ayuda a evitar que te capturen los mensajes que se envían en aplicaciones de WhatsApp antiguas vulnerables al descifrado de la comunicación como vimos en la segunda parte. Además, ayuda a evitar cuando los mensajes son de grupo, que se conocen ciertas limitaciones en el protocolo de cifrado que se usa, y a que alguien te pueda capturar el número de teléfono cuando te registras.


Figura 14: Demostración de WhatsApp Discover

Con la herramienta WhatsApp Discover, se puede ver como capturando el tráfico de una red WiFi era posible localizar paquetes de WhatsApp con el número de teléfono en las versiones antiguas, así que hay que evitar conectarse sí o sí a una red WiFi sin utilizar una red VPN.  En las nuevas versiones de WhatsApp este bug de privacidad ha sido corregido.
7.- Fechas de los mensajes y mensajes manipulados

Estas opciones tiene más que ver con caer en trucos de ingeniería social que en ser unas opciones de privacidad pura y dura, pero quería incluirlas también para que la gente lo tuviera presente. En WhatsApp es posible manipular las fechas y el contenido completo de los mensajes, así que no hay porque tomar por segura ni fecha ni el contenido de un mensaje.


Figura 15: Creación de mensajes falsos de WhatsApp

Las opciones de privacidad que tú quieras añadir a la visualización de los mensajes son decisión tuya, pero si alguien te enseña un mensaje de WhatsApp, este puede haber sido manipulado.

Ataques que protege:
- Falsificación de mensajes de WhatsApp
8.- Actualizar la app para evitar que localicen tu dirección IP

En la última parte de este artículo quiero volver a hacer notar la importancia de actualizar las apps de WhatsApp. Existe una versión en concreto de WhatsApp para Android en la que se activó la pre-carga de contenido automático para hacer una previsulación de icono en la URL. Esto fuerza una petición desde el cliente de WhatsApp del receptor del mensajes que hace que el atacante pueda averiguar la información de su dispositivo y la dirección IP dónde está conectado.

Figura 16: Previsualización de icono en URL enviada por chat de WhtasApp

Esto es un grave problema de seguridad, además que se puede forzar a la víctima a realizar ataques contra cualquier servidor. WhatsApp quitó esta versión y la característica. Si tienes una app de WhatsApp para Android en la que se te carga la previsualización de una imagen en una URL, entonces tienes esta versión y deberías actualizarla cuanto antes.

Ataque que protege:
- Cómo saber dónde está alguien por un chat de WhatsApp
9.- No te confundas al enviar un mensaje a un desconocido


Tal y como está integrado hoy en día Facebook con WhatsApp, si tienes agregado tu número de teléfono a Facebook puede que le aparezcas como recomendaciones de amigo al desconocido y te haga un doxing. Ten cuidado a quién le envías el mensaje siendo "anónimo". Ahora puedes deshabilitar esta compartición de datos.

Ataque que protege:
- Cómo Facebook "espía" las conversaciones de WhatsApp
10.- No compartir datos con Facebook


Si compartes con Facebook tu información de WhatsApp, la red social tomará datos de tus conversaciones y amigos para sugerilos dentro de tus círculos de amistad. Esto puede hacer que incluso desconcidos comiencen a estar cerca de ti. Esto ya se vio que era algo que Facebook estaba haciendo, pero tras estar sujeto a la investigación de la FTC Americana, es probable que empiece a hacer de manera selectiva solo para aquellos que no quiten la opción de compartir.

Figura 17: No compartir datos con Facebook

Ataque que protege:
- Cómo Facebook "espía" las conversaciones de WhatsApp
Fin de la tercera y última parte

Con esta entrada doy por finalizada esta serie dedicada a Proteger WhatsApp a prueba de balas. Espero que os hayan sido útiles y si tenéis cualquier sugerencia, iré añadiéndola al artículo. Ten mucho cuidado, que hay mucha gente que quiere espiar WhatsApp, así que si crees que nadie está buscando cómo hacerlo con el tuyo, puede que estés equivocado.


Figura 18: Jugando con la seguridad de aplicaciones de mensajería

Os dejo aquí una charla de mis compañeros de ElevenPaths en la que explican cómo funcionan algunas de las opciones de seguridad en WhatsApp, además de en otras plataformas de mensajería.

Saludos Malignos!

11 comentarios:

Anónimo dijo...

Muchas gracias por la info y los consejos¡
Saludos!

Contratar a Diego Perez dijo...

Creo que es un artículo muy completo y útil, hare lo propio en mi whatsapp para resguardar mi privacidad

Anónimo dijo...

Me vigilan por whatsdog, como evitarlo? hay alguna forma de que intenten dejar de saber cuando me conecto y el tiempo que estoy conectada? Alguna aplicación para protegerme?

Anónimo dijo...

Muy bueno!

Unknown dijo...

Por favor estoy desesperada por el control que me tiene mi pareja con el wassapdog,diganme como puedo bloquearlo y ayudenme a vetarlo,ya no puedo mas con tanta vigilancia

Anónimo dijo...

Denuncialo! Es ilegal

Blogger Unknown dijo...

Por favor estoy desesperada por el control que me tiene mi pareja con el wassapdog,diganme como puedo bloquearlo y ayudenme a vetarlo,ya no puedo mas con tanta vigilancia

Roxy dijo...

Mi pareja me hackeo en watsap me vigila que hago para quitarmelo tanta vigilancia.. yo lo bloquee nos si es suficiente?

Roxy dijo...

Mi pareja me hackeo en watsap me vigila que hago para quitarmelo tanta vigilancia.. yo lo bloquee nos si es suficiente?

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Unknown dijo...

Yo no me complico y uso “Actualizar para whatsapp” que es una aplicación que te notifica cuando hay una actualización pendiente de Whatsapp Messenger para disfrutar cuanto antes de las novedades, pueden echarle un vistazo aquí https://play.google.com/store/apps/details?id=com.whatsversions

Appdroid dijo...
















pokemon go app watch
pokemon go app wiki
pokemon go app with joystick
pokemon go app 2017
pokemon go app 2016

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares