viernes, abril 05, 2019

WhatsApp mejora la privacidad y evita el desbloqueo de contactos bloqueados (y el trolling)

En estos días WhatsApp habrá mejorado bastante bien la privacidad de los usuarios de la herramienta añadiendo un par de opciones bastante interesantes. Yo mantengo un artículo que actualizaré con estas opciones añadidas recientemente de "Cómo Proteger WhatsApp a prueba de Balas". No es que sean nuevas en el mercado de apps de mensajería, y la verdad es que éramos muchos los que las pedíamos desde hace bastante tiempo, pero al menos es bueno tenerlas ahora disponibles.

Figura 1: WhatsApp mejora la privacidad y evita el desbloqueo de contactos bloqueados (y el trolling)

Alguna de ellas, en concreto la utilizamos nosotros para crear un servicio llamado desbloquéame que hicimos como PoC (nunca publicado), pero que explicaba porque eran tan importantes. Os las cuento en detalle.

Protección de apertura de WhatsApp con Biometría

Una de las opciones que pedían muchas personas era que se pudiera bloquear la apertura en primer plano de la app con opciones biométricas. Ya tiempo atrás WhatsApp añadió la opción de Two-Steps-Verification pero como expliqué no era la mejor opción, ya que se había convertido en una One-Step-Verification si resultaba que la dirección de e-mail que protegía el PIN de WhatsApp como forma de recuperarlo tenía asociado el número de teléfono en el que está WhatsApp.

¿Por qué?

La idea es que el Two-Step-Verification de WhatsApp pide un PIN y si la persona tiene acceso al teléfono, podría pedir la recuperación de la contraseña del e-mail con un SMS que le diera acceso al e-mail para pedir una recuperación del PIN como Two-Step-Verification de WhatsApp para que llegue al correo de e-mail. Es decir, que si un atacante se encuentra con la posibilidad de manipular el terminal podría acceder a WhatsApp incluso con un Two-Step-Verification.

Figura 2: FaceID protection en WhatsApp

Con biometría, esto cambia. En el caso de iPhone se ha añadido TouchID y FaceID para los nuevos modelos y se puede configurar para que cada vez que se abra la app de WhatsApp se pida la verificación biométrica de la persona que quiere leer los mensajes. Y funciona de maravilla.  Si FaceID o TouchID falla, entonces te pide el passcode del smartphone, lo que es igual de bueno.

Opciones de Protección contra inclusión en Grupos

Probablemente todos los usuarios de WhatsApp han sido integrados alguna vez en un grupo de WhatsApp sin desearlo. Alguna vez ha sido una molestia puntual, otra ha sido un trolleo de gente que utiliza esto para molestar a las personas, y otras veces para conseguir que una persona bloqueada pueda enviarle mensajes al bloqueante, tal y como explicamos en la PoC de Desbloquéame.


Figura 3: PoC de Desbloquéame

La idea es bastante sencilla. Una persona A bloquea a una persona B. Esta persona A le pide a un servicio en Internet que usa un número C que le desbloquee. Este servicio, utilizando un número virtual como los que se consiguen en la red crea un grupo en el que mete a la persona A y la persona B. Le da acceso a la persona B y entonces B puede enviar mensajes a la persona A otra vez, a través del grupo.
Esto es así, porque dos personas, aún estando bloqueadas, pueden comunicarse a través de grupos. En Telegram la persona A podía controlar esto con las opciones de grupo, y esto es lo que ha añadido también WhatsApp.

Figura 5: Opciones de seguridad en Groups
En las opciones de Privacidad -> Grupos se podrá restringir (Aún está en fase de despliegue en todo el mundo) quién te añade a un grupo, con lo que un servicio como nuestro Desbloquéame se podría anular fácilmente eligiendo que solo te puedan añadir a grupos las personas que son contactos tuyos, o directamente nadie.

Portabilidad de Datos

Una opción de las que quería hablar hace tiempo es la opción de exportar los datos que WhatsApp tiene de ti. Es una opción que podéis solicitar y se recibirá un fichero HTML y otro JSON con los datos generales de la cuenta. No demasiada información, y por supuesto no insights. Pero al menos te permite ver parte de tus datos y llevártelos, como la lista de contactos.

Figura 6: Opciones de pedir un reporte de datos a WhatsApp

Y es verdad que si te quieres llevar las conversaciones, siempre puedes exportar un chat como un fichero en texto plano que te puedes llevar enviándote un correo electrónico.

El peligro de la exportación de Chats

Esta opción es justo una de las más peligrosas para la privacidad personal, ya que un descuido de 30 segundos, alguien entra en el chat y se envía toda la conversación a su correo electrónico, teniendo todos los mensajes para la lectura tranquila.

Figura 7: Opciones para exportar en 30 segundos un chat (con vídeos y fotos)

Es por eso, que la opción de añadir una protección de Two-Steps-Verification más la de protección con Biometría (FaceID o ToucID) es fundamental para evitar que te espíen el WhatsApp, así que más vale que las añadas.

Mensajes desde números virtuales y mensajes desde NO contactos

Por desgracia es bastante sencillo abrirse un número de teléfono virtual gratuito en Internet y usarlo para abrir una cuenta de WhatsApp. Esto permite a gente que disponga de anonimato para acosar y molestar a personas. Yo creo que Facebook debería bloquear estos números virtuales para que no pudieran abrir cuentas de WhatsApp, pero si lo quieren permitir, deberían añadir la opción de prohibir que te envíen mensajes personas que no estén en tus contactos. Así evitaríamos el problema de los mensajes que te envía gente que no está en tu lista de contactos.

Figura 8: Webs que ofrecen virtual numbers en Internet (For Free)

Por defecto WhatsApp no deja enviar mensajes a personas que no tienes en tu lista de contactos, pero sí que deja recibir mensajes desde personas que no están en tu lista de contactos. Eso sí, en Xataka explicaron un truco para enviar mensajes a personas que no tienes como contacto en WhatsApp, así que ya que nos podemos deberían arreglar los dos sentidos de la comunicación (más proteger el mal-uso de cuentas de WhatsApp generadas por números virtuales anónimos).

Saludos Malignos!

2 comentarios:

Diego Javier dijo...
Este comentario ha sido eliminado por el autor.
Diego Javier dijo...

Es importante que la aplicación Whatsapp gratuita mantenga sus estándares de seguridad elevados, ya que así, podemos los usuarios tener certeza de poder sostener conversaciones privadas sin temor a ser expuestos por vulnerabilidades.

Entrada destacada

MyPublicInbox: Perfiles destacados por categorías #MyPublicInbox @mypublicinbox1

Cuando se conceptualizó la plataforma de MyPublicInbox se pensó en un entorno que permitiera que los perfiles públicos recibieran comunica...

Entradas populares