Una Campaña de Smishing con SMS Spoofing usando a la Dirección General de Tráfico con la Operación Salida de Libro

La semana pasada me llegó a mi número de teléfono personal un ataque de Smishing para capturar mis datos personales y, por supuesto, mi tarjeta de crédito. El gancho, que la Dirección General de Tráfico (DGT) me había puesto una multa durante la Operación Salida de Agosto y, cumpliéndose el mes, se me acababa el tiempo para pagarla con Descuento.

Figura 1: Una Campaña de Smishing con SMS Spoofing usando

a la Dirección General de Tráfico con la Operación Salida de Libro

El mensaje me vino por SMS, como he dicho, y utilizaba técnicas de SMS Spoofing para que se colara dentro del flujo de mensajes que recibo de la DGT cuando utilizo su app, así que los atacantes prepararon bien la campaña.

Figura 2: El Smishing con el el dominio de Phishing

haciendo SMS Spoofing con el número de la DGT

Ví el mensaje desde el iPhone, sin tener mis gafas a mano y pensé... ¡porras! una multa. El SMS Spoofing, añadido a que alguna vez de eses muy raras he sufrido una "multilla" con mi Malignomóvil, hacía que esa posibilidad estuviera dentro del universo de lo posible. Pero no sólo eso, sino que cuidaron todos los detalles como manda el manual del buen Ciberestafador, como bien nos cuenta Juan Carlos Galindo en su pedazo de libro.

Figura 3: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Si me has visto utilizar el iPhone cuando no tengo las gafas a mano, habrás visto que golpeo con mis tres deditos para hacer uso de la lupa. Sí, ver de cerca bin sin gafas no es una de mis capacidades hoy en día, así que uso las opciones de accesibilidad para aumentar el contenido de la pantalla, así que hice clic en el enlace - que veréis que está claro que es un sitio de phishing -, y entré a ver la web.

Figura 4: La web de phishing para mobile

No saltó ninguna protección de Apple Safari para iOS de sitio fraudulento, y la multa describía el hecho el día 1 de Agosto, en plena Operación Salida. Ese fin de semana yo tenía que viajar, que me incorporaba, como ya os conté, al lunes siguiente en Cloudflare, así que viajaba ese día. 

Figura 5: La web de phishing pide datos y los valida

Era fin de mes, había pasado todo el mes de Agosto y caducaba la Reducción del 50% así que decidí que mejor pagarla cuanto antes, pero como no tenía gafas a mano, copie el SMS y me lo envíe por Telegram a los Saved Messages para hacerlo desde el ordenador, a gran pantalla.

Figura 6: Y tras los datos, debes dar los datos de tu tarjeta de crédito.

Si lo haces, te va a salir caro el "descuento" de la multa.

Me puse las gafas, y confiado por todo el proceso, hice clic, y en ese momento me saltó un error de NGINX en el navegador  - Google Chrome para MacOS -, y fue cuando acabó la magia. Ahí ya me fijé en la URL, y como os podéis imaginar, me di cuenta de todo. El Cloacking que hacía ese sitio para evitar conexiones que nos fueran desde USER-Agents de móviles evitaba que se viera el sitio de Phishing desde el escritorio.

Figura 7: Dominio detectado como Phishing en Chrome

Hice las capturas, para contaros esta historia, y a día de hoy el sitio ya está caído, y bloqueado en los filtros antiphishing de Google Chrome, pero me quedé pensando en cuánta gente habrá entregado su tarjeta de crédito y sus datos a una campaña que estaba tan bien preparada. Había hecho.

• Un sitio de Phishing para mobile, con una típica URL de phishing.
• Habían hecho cloacking con el USER-Agent para evitar "curiosos" o "no provenientes del Smishing"
• Una campaña de envío masivo de SMS Smishing
• Habían utilizado SMS Spoofing para meterse en el hilo de DGT de los mensajes
• Habían enviado la campaña a finales de mes con el la urgencia del pago con descuento
• Habían puesto el motivo con algo que podría ser factible: Una multa el día 1 de Agosto.
• Habían conseguido saltar los filtros antiphishing de los navegadores. Apple Safari para iOS lo marca como caído, pero no como marcado.

En mi caso funcionó todo, a excepción de que lo que se había convertido en una ventaja para ellos - que no veía bien sin gafas y no me pude fijar en la URL en el móvil - se convirtió en una protección cuando lo intenté hacer desde el ordenador con mis gafas. 

Figura 8: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por ponerle alguna pega a la campaña, le faltó poner un precio mas realista ya que una multa de 35€ no es ni de aparcamiento en España, y si hubieran hecho la versión web solo para links con redirect usando algún parámetro de tracking, as lo mejor hubiera sido más efectiva incluso. Pero estoy seguro de que esta campaña habrá generado más de algún "premio" para los cibercriminales que la lanzaron. Así que, no hay que relajarse nunca y hay que evitar que la vida ajetreada nos haga bajar las defensas, que por quitarnos las cosas cuanto antes, podemos saltarnos alguna comprobación. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Photaka Link: De “¿Me pasas la foto por WhatsApp?” a “Ya la tengo en el móvil”

Cuando usas una cámara de fotos profesional o casi-profesional, hay escenas que todos hemos vivido: estás en una sesión, miras la pantallita de la cámara, haces zoom con el joystick para comprobar el foco, y luego te piden “¿me la puedes pasar?”. Toca abrir la Wi-Fi de la cámara, emparejar, cruzar los dedos y rezar para que el RAW no tarde mil años. Spoiler: tarda. Y si encima hay interferencias, olvídate. Con Photaka Link el guion es otro: conectas un cable USB de la cámara al smartphone o tablet, y en segundos tienes el flujo de trabajo que siempre quisiste en movilidad: vista previa en vivo, selección de fotos y descarga inmediata al teléfono. 

Figura 1: Photaka Link - De “¿Me pasas la foto por WhatsApp?”

a “Ya la tengo en el móvil” 

La idea es sencilla y, como casi todo lo que funciona, está bien ejecutada: el móvil se convierte en tether, monitor de revisión y backup portátil, todo con un solo cable. Y ya la tienes disponible en Android y iOS, la app ya anuncia compatibilidad con cámaras Canon, Nikon y Sony y la conexión directa por USB (nada de inventos raros). 

¿Qué hace exactamente Photaka Link hoy? (y por qué a los hackers de la foto nos gusta)

• Habla MTP con tu cámara profesional: MTP (Media Transfer Protocol) es la evolución del clásico PTP de las cámaras: pensado para mover fotos y medios por USB de forma controlada y sin montar el almacenamiento como un disco “a pelo”. Es estándar desde 2008 y en Android es lo normal desde hace años. Traducción: robusto, interoperable y sin dramas. 

• Modo sesión (tether): mientras disparas, vas recibiendo JPEG o RAW para revisar al vuelo en el móvil/tablet.

• Modo importar: además de fotos, ya añade vídeo cuando importas material almacenado en las tarjetas SD de la cámara.

• Simplicidad: enchufar, confirmar conexión, ver, seleccionar, disparar, en modo sesión o importar. Sin menús arcanos ni emparejamientos caprichosos. 

Nota de campo: en la web oficial tienes un resumen muy claro de la filosofía: “tu móvil o tablet como tether, monitor de preview y backup, con un solo cable”. Es justo el tipo de UX que agradeces cuando hay prisa.

¿Por qué cable y no Wi-Fi de la cámara?

Porque los bits pesan, sobre todo cuando son RAW de 45 MP o clips de vídeo de 500 MB. Y porque la física manda.

• USB 2.0 (Lightning y muchas cámaras antiguas): 480 Mb/s teóricos (≈ 60 MB/s). Muchos iPhone/iPad con Lightning se quedan aquí; el propio adaptador oficial lo deja claro.

• USB-C moderno (USB 3.x): 5 Gb/s (USB 3.0/3.1/3.2 Gen1) y hasta 10 Gb/s en equipos que lo soportan. Por ejemplo, iPhone 15 Pro/15 Pro Max (y generaciones Pro posteriores) anuncian USB 3 hasta 10 Gb/s —eso sí, usa cable compatible USB 3; muchos cables “de carga” van a USB 2 y te dejan en 480 Mb/s.

• iPhone 15/16 “no Pro” con USB-C: siguen en USB 2 (480 Mb/s). No es magia: cambia el conector, no el bus.

¿Y que nos da la Wi-Fi de la cámara? Muchas cámaras sólo montan 2.4 GHz con 802.11n (lo típico: hasta 150 Mb/s de enlace en 20 MHz) y rendimientos reales muy por debajo (decenas de Mb/s). Algunas, con módulos dedicados, saltan a 5 GHz / 802.11ac, pero aún así la experiencia real baila según radio, interferencias y stack de software. Es decir: más latencia y menos previsibilidad que un USB decente.

La conclusión práctica: un buen cable (y un puerto que dé de sí) suele ganar en consistencia y velocidad para grandes JPEG, RAW y vídeo. Y esa es la apuesta de Photaka Link: menos fricción, más flujo. 

Consejos de “cacharreo” para exprimir Photaka Link

• Elige bien el cable: si tu teléfono/tablet/cámara anuncia USB 3, usa cable USB 3 (o Thunderbolt 3/4 válido para datos). El “cablecito” de carga que venía en la caja puede dejarte en USB 2. Apple lo documenta: su cable de carga USB-C se queda en 480 Mb/s. 

• OTG activo en Android: en la práctica, casi todos los Android modernos con USB-C actúan como host, pero si usas adaptadores raros, verifica que soportan datos (no solo carga).

• Alimentación: algunas cámaras consumen más si están alimentando el móvil por el bus. Si notas caídas, usa un hub con alimentación o configura la cámara para no suministrar energía por USB (si lo permite).

• Flujo de sesión vs importación: usa sesión para revisar composición y foco al vuelo y transferir las imágenes en tiempo real al dispositivo. Deja importar para cuando no trabajes con el dispositivo conectado y quieras acceder y descargar archivos más tarde (incluido el vídeo).

• Espacio y backup: recuerda que el móvil es tu buffer: libera espacio o sincroniza rápido a tu nube preferida. La hoja de ruta de Photaka Link apunta a almacenamiento en la nube y posprocesado integrados, pero ya llegamos a eso.

¿Dónde encaja esto en el proyecto grande de Photaka?

Photaka Link es la pieza de base o componente de un plan más ambicioso: un ecosistema donde los creadores profesionales (foto y vídeo) entregan en tiempo real contenido a sus clientes —Memories as a Service— con una marca de consumo clara y una red de fotógrafos en ubicaciones icónicas o muy concurridas. En el pitch deck, se resume con un lema que me encanta: 

“We capture your happiest moments instantly” 

y un flujo B2C/B2B con fotógrafos desplegados y listos para disparar, el resultado se procesa y se entrega inmediatamente y el cliente compra lo que desee desde la app.

Figura 2: Photaka Link para Android

En ese camino, Photaka Link seguirá creciendo: más cámaras soportadas, métodos de conexión (cable hoy; mañana… ya veremos), post-procesamiento en el dispositivo o en la nube, y sincronización en la nube. Si te dedicas a eventos, bodas, viajes o prensa, ya ves por dónde va: ampliando tus posibilidades para entrega inmediata y sin alquimia.

Un poco más técnico: MTP, PTP y por qué no es “montar un disco”

Cuando conectas la cámara por USB con Photaka Link, no estás montando un volumen como si fuera un pendrive. Estás hablando de MTP/PTP: un protocolo a nivel de objetos (ficheros, miniaturas, metadatos) que expone comandos de alto nivel (listar, obtener, borrar, disparar, etcétera) y deja a la cámara controlar el almacenamiento. Y esto nos da muchas ventajas:

• Menos corrupción: no hay un sistema de ficheros “abierto” en dos sitios a la vez.
• Metadatos ricos: y miniaturas rápidas para revisar y seleccionar.
• Compatibilidad: Android lo usa por defecto; las cámaras lo implementan desde hace años como “clase USB” estándar. 

¿Cuánto “vuela” en la práctica?

La teoría te da límites físicos. El mundo real lo ponen los chips (de cámara y de móvil), el firmware y el cable. Casos reales en foros midiendo Wi-Fi de cámara hablan desde ~12 Mb/s (≈ 1,5 MB/s) en equipos modestos, hasta ~180 Mb/s en setups con 5 GHz cerca del router. Con cable USB 3.x, cuando el cuerpo y el teléfono responden, es normal estar muy por encima de esas cifras y, sobre todo, sin la variabilidad del aire.

Figura 3: Photaka Link para iOS (iPhone & iPad)

Un buena regla hacker es que si tu móvil/cámara está limitado a USB 2, ya has ganado frente a muchos Wi-Fi de cámara reales (480 Mb/s teóricos vs 20–150 Mb/s típicos de 2.4 GHz). Si ambos son USB 3, la diferencia es aún mayor.

Lo que tiene hoy en día:

• Simplicidad de flujo: conectar, ver, elegir, importar. Sin capas de emparejamiento Wi-Fi. 

• Compatibilidad con las tres grandes (Canon, Nikon, Sony): desde el lanzamiento en Android y iOS. (Google Play, Apple)

• Enfoque en sesión: poder revisar RAW/JPEG al vuelo y pasarlos al dispositivo, y dejar el vídeo para importación, tiene sentido cuando estás en exteriores.

Lo que estamos trabajando para después:

• Más marcas/modelos soportados: Y controles remotos (apertura/velocidad/ISO) donde el firmware lo permita.

• Metadatos con la visualización de cada foto: ISO, Velocidad de obturación, Apertura de diafragma, Compensación…

• Posprocesado ligero en el dispositivo: Curvas, LUTs, auto-tones, y presets por sesión.

• Postprocesado en Cloud: Potente mediante el uso de IA en la nube.

• Sincronización cloud con entrega en tiempo real al cliente: Esto encaja con la visión del proyecto Photaka —servicio de consumo de una red de creadores– El equipo de Photaka Link está abierto para recibir sugerencias e ideas con las que evolucionar el producto para ayudar a mejorar el trabajo de los profesionales y aficionados.

Checklist rápido para empezar

• Instala la app en tu sistema: Aquí tienes los enlaces en Google Play y en App Store.

• Cable correcto: Si puedes, USB-C ↔ USB-C con soporte USB 3; evita los cables “solo carga”. 

• Activa conexión USB en la cámara según el manual: Muchas lo ponen como “PC/Remote/PTP/MTP”.

• Dispara y revisa (acepta o descarta) en modo sesión: O accede al contenido de las SDs, importa su contenido (JPEG, RAW y vídeo).

• Accede a los archivos: En dos carpetas en la galería de tu smartphone o tablet, una para modo sesión y otra para importación.

TL;DR: Si eres de los que quieren velocidad y control en movilidad, Photaka Link te quita ruido del medio: cable USB, MTP, RAW/JPEG en sesión, más vídeo en modo importación, y tus fotos en el móvil o tablet sin dramas. Y lo interesante es que no se queda ahí: encaja como núcleo tecnológico de una plataforma para entregar recuerdos en tiempo real a los clientes de los creadores profesionales. Menos fricción, más trabajo hecho. 

¿Te mola? ¿Quieres proponerme algo? Me tienes en MyPublicInbox.

Saludos,

Autor: Kiko Monteverde, emprendedor, founder of Photaka Link

Contactar con Kiko Monteverd

Calculando a lo que tocamos en la comida con Inteligencia Artificial

Hoy sábado, en mitad del puente de Santiago, y siendo el último fin de semana de Julio, no espero que muchos estéis por aquí leyendo, así que para los que le dediquéis unos segundos os dejo una cosa muy pequeña que aprendí de casualidad, y que os comparto por aquí por si os es de utilidad y os ahorra algún segundo en vuestra vida. Y si no, como es cortito, pues rápido a hacer otras cosas que es día para disfrutar, deporte y descanso.

Figura 1: Calculando a lo que tocamos en la comida con Inteligencia Artificial

Hace un tiempo había organizado con algunos amigos una comida a la que fuimos 12 personas. De esas, 3 compraron diferentes cosas y gastaron dinero por adelantado, así que yo - como amado líder del grupo - estaba echando las cuentas que las otras 9 personas tenían que pagar. 

Figura 2: ChatGPT haciendo el problema de los pagos de la barbacoa

Si has leído hasta aquí, seguro que has vuelto a tu niñez pensando en los cuadernos de problemas de matemáticas para el verano, ¿verdad? Pues ya ves, tenían utilidad aquellos ejercicios. Algo que hoy ya puedes pasar a ChatGPT o usar SettleUP, y que si quieres hacer manualmente, pues lo tienes descrito este proceso.

Figura 3: El cálculo y los pagos hechos al céntimo como si fuera SettleUP

El caso es que tirando de recuerdos de aquellos tiempos estaba yo con la calculadora abierta haciendo las operaciones con la misma lógica que os he dejado arriba en el proceso de ChatGPT, pero redondeando sin centimos, cuando al ir a escribir la operación que había hecho para repartir los gastos vi que Apple Intelligence en el Texto Predictivo del teclado de mi WhatsApp me estaba dando el resultado de las operaciones que les describía a mis amigos.

Figura 4: Organizando los pagos de la comida por Bizum "redondeando"

Es decir, que ya no necesitaba usar la calculadora para hacer los cálculos en paralelo. Bueno, lo cierto es que como os podéis imaginar, decidí revisarlos que es duro cambiar de hábitos, pero sí, estaban correctos. Para ello estuve probando con diferentes operaciones un rato, y lo cierto es que las hace todas bien.

Figura 5: Una calculadora en el teclado de tu iPhone para el WhatsApp

Esta característica de acercar lo que necesite el usuario a donde lo necesite es una característica de engagement que usan muchos servicios digitales. Un usuario que cambia de una app a otra buscando algo que le puedes poner ahí por si lo necesita siempre incrementa el engagement y, si además lo descubre como en este caso, cuando lo necesita, aumenta la satisfacción con el producto.

Figura 6: Calculadora en el teclado de Apple Safari para iOS

El navegador de Apple Safari en iPhone también hace las cuentas para ti si tecleas una operación en la barra de buscar, como podéis ver, y si las cuentas las buscas en Google, se te ofrece una calculadora, y si buscas un poco más, hasta la calculadora con el solucionador de ecuaciones.

Figura 7: Las calculadoras de Google

Hoy en día los sistemas más utilizados buscan dar esas "features" que ponen al usuario en el centro y se anticipan a las necesidades, como poder "escuchar la radio en la televisión", poder calcular directamente en el teclado, o meter funciones extras en el UI cuando el terminal se pone en modo apaisado. Si el usuario se lo encuentra cuando lo necesita... bien por ella. Eso lo saben los creadores y usuarios digitales, y cuando no lo tienes... no vas a favor de lo que quiere el usuario. Si tienes un servicio bueno, increméntale al máximo las funciones que necesite el usuario, tendrás más engagement, y más satisfacción. Garantizado.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Push Notificaciones en la app de MyPublicInbox para iPhone y para Android

Desde hace poco hemos añadido las Push Notifications en la app de MyPublicInbox para iPhone y en la app de MyPublicInbox para Android, así que si tienes cuenta en nuestro querido servicio de MyPublicInbox, y te instalas la app, podrás tener la información de nuevos mensajes o peticiones de servicios directamente en el sistema de notificaciones de tu terminal móvil.

Figura 1: Push Notificaciones en la app de MyPublicinbox para iOS

y en la app de MyPublicInbox para Android

Si no tienes cuenta en MyPublicInbox, sácatela hoy, que es gratuita. Y luego  debes instalarte primero la app de MyPublicInbox para iPhone, o la app de MyPublicInbox para Android, que tienes aquí mismo.

Figura 2: App de MyPublicInbox para iPhone (iOS) en App Store

Y luego, pues como todas las apps de tus sistema operativo móvil. Según tengas configuradas las opciones de notificaciones te llegarán de una u otra manera.

Figura 3: App de MyPublicInbox para Android en Google Play

Como podéis ver, si te escriben un correo te sale la notificación en el Notification Center de iOS, que es el terminal móvil que utilizo yo para disfrutar de mis apps.

Figura 4: Push Notifications en el Centro de Notificaciones de iPhone

También, como tengo configurado el sistema de alertas en los iconos, me llegan las alertas visualmente en la pantalla de inicio de mi terminal.

Figura 5: Número de mensajes en iconos

Luego, dentro de la app móvil, tienes las alertas de mensajes de correo y de mensajes de chat marcados con números arriba a la derecha en tu Dashboard de MyPublicInobx.

Figura 6: Notificaciones in-App de MyPublicInbox

Pinchando en cada una de ellas, la app te lleva directamente al siguiente módulo de MyPublicInbox donde tienes los mensajes, simplificando la vida.

Figura 7: Pinchas en la notificación del chat 

y navega hasta el chat público del El lado del Mal.

Poco a poco vamos a ir integrando cada vez más funcionalidades en la plataforma de MyPublicInbox, que tenemos un roadmap muy agresivo, así que si tienes las apps, podrás disfrutar de todas en tu terminal móvil.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Publicada la App de MyPublicInbox para iPhone (iOS) en App Store

El proceso de tener publicada la App de MyPublicInbox para iPhone para que los usuarios la pudieran disfrutar en el sistema operativo iOS ha sido un poco más largo de lo que esperábamos, pero ya está disponible en App Store para que los usuarios se la puedan instalar en España, Estados Unidos, y poco a poco el resto de países.

Figura 1: Publicada la App de MyPublicInbox para iPhone (iOS) en App Store

La app de MyPublicInbox para iPhone la tienes en App Store en la siguiente URL: App de MyPublicInbox para iPhone, y una vez que la instales podrás tener todas las funciones que tenemos en la plataforma disponibles en la app, que tiene "parity check", así que podrás hacer todo desde ella.

Figura 2: App de MyPublicInbox para iPhone (iOS) en App Store

El funcionamiento es muy similar al que tienes en la versión WebApp para iOS, sólo que en este caso está integrado todo con las APIs del sistema operativo, lo que ayuda a que puedas tener una mejor experiencia de uso, pero si no está en tu región, puedes utilizar esta versión perfectamente.

Figura 3: App de MyPublicInbox para en iPhone (iOS)

Además, como una app del sistema iOS, podrás añadir una capa de seguridad extra utilizando FaceID para bloquear el acceso, y al mismo tiempo recordar la contraseña en el gestor de contraseñas de iPhone, lo que te hará la usabilidad mayor.

Figura 4: Configuración de FaceID para proteger la app de MyPublicInbox en iPhone

Si no eres usuario de iPhone & iOS, y tienes un sistema operativo del androide, ya sabes que también tienes la versión de app de MyPublicInbox para Android en Google Play.

Figura 5: App de MyPublicInbox para Android en Google Play

Estamos activando poco a poco las zonas geográficas, así que si estás en un país que no tiene disponible la versión de iPhone o de Android, contacta con Leire o Héctor en MyPublicInbox para que le demos priorizar a tu región, pero mientras tanto, puedes usar la WebApp de MyPublicInbox que funciona para iPhone y para Android.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"Mi Hacker" desarrollando su mirada "hacker" buscando fallos en WhatsApp

Hoy quería contaros una historia curiosa con mi hija mayor, a la que ya sabéis que llamo cariñosamente "Mi Hacker v2.0" porque desde que nació cambió los ejes de mi vida. A ella le gusta la tecnología, y desde muy pequeña la he enseñado cosas. Algunas veces trucos de hacking, otras simplemente tecnología, pero sobre todo a buscar las esquinitas de la tecnología y saber que algo era una pista porque no estaba funcionando como debía.

Figura 1: "Mi Hacker" desarrollando su mirada

"hacker" buscando fallos en WhatsApp

De eso os conté hace poco como descubrió un pequeño "leak" con el PIN de desbloqueo de WhatsApp, y le hizo mucha ilusión que yo publicará el artículo que podéis leer en: "WhatsApp y el "leak" del PIN de Verificación en 2-Pasos".

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

De esto le cuento mucho, y lee mucho, como el libro de WhatsApp INT: OSINT en WhatsApp, así que, ha seguido afinando el ojo a ver si encontraba algo, y el otro día me mandó un vídeo explicándome algo que no estaba bien.

FaceID & Passcode en WhatsApp

Para explicármelo me envió un vídeo por WhatsApp y un mensaje donde me lo contaba. El proceso que ella uso comenzaba con WhatsApp desbloqueado, como podéis ver aquí. Sí, yo soy "Aa Papaete [corazones][corazones]". Me la como...

Figura 2: WhatsApp desloqueado

Lo siguiente que hace en el proceso de reproducción del fallo es entrar dentro de la carpeta de "Locked Chats" que ya os conté en el artículo: "WhatsApp Locks: Los Chats Restringidos y una pequeña Weakness de Privacidad cuando "resucitan"" no sólo cómo funcionan, sino que tienen un límite cuando lo eliminas, ya que vuelve a aparecer como un chat normal, algo que si leéis el artículo, estuve probando con "Mi Hacker v2.0".

Figura 3: Entrando en Locked Chats

Al entrar en los Locked Chats, lo que sucede es que WhatsApp te pide el Passcode, por seguridad, que es su forma de proteger el contenido de estos de descuidos con la app abierta ante gente curiosa cerca tuya. Y eso nos lleva a esta parte de la app.

Figura 4: Un chat en Locked Chats

Ahora, una vez allí, lo que hace es "minimizar" la app, cambiando de app dentro de iOS, para ir a otra parte del sistema operativo.

Figura 5: Minimizando WhatsApp

Y una vez allí, intentar volver a WhatsApp, donde la se le pide FaceID para desbloquear la app y poder entrar otra vez en los mensajes de la aplicación. Y lo que obtiene es un mensaje que dice que tiene que usar FaceID para poder entrar.

Figura 6: Unlock with FaceID to continue

Sin embargo, lo que le pide automáticamente no es FaceID, sino que cuando le da a FaceID le solicita el Passcode de iPhone para poder entrar.

Figura 7: Passcode de iPhone

¿Por qué? Pues porque la app de WhatsApp recuerda el chat en el que estabas y te lleva al mismo lugar de los Locked Chats, y por tanto hay que poner el passcode para entrar ahí.

Figura 8: Locked Chats

Al terminar el proceso estuvimos hablando un rato, sobre por qué pide FaceID cuando te va a pedir el passcode. Miramos a quitar FaceID del bloqueo de WhatsApp, para ver porque pedía las dos cosas, y la verdad es que el comportamiento es un poco "random", porque a veces a mí me pide FaceID sólo. Otras FaceID y luego el passcode (incluso cuando no hay bloqueo de app con FaceID).

Figura 9: App lock desactivado

Pero... ¿por qué os cuento esta historia? Pues porque me encanta el "thinking out of the box" que muestra "Mi Hacker v2.0" en estas discusiones. Hay algo que no acaba de encajar, y hay que encontrar qué es. Además de que tenga esa mirada fijándose en los detalles, que es lo que hace a un buen hacker serlo.  Las hipótesis son:

• Se necesita FaceID para activar los WhatsApp Locks y por tanto siempre comprueba FaceID como poco.

• Lo hace muy rápido, y pide el passcode sólo cuando no lo ha podido probar de forma segura.

• Si no hay FaceID en el bloqueo entonces siempre pide los dos.

Y ahora, que tenéis proceso, reproducidlo vosotros y a ver cómo funciona en vuestra versión y terminal, que seguro que hay algún matiz. Nosotros vamos a seguir probando todos los escenarios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Cómo guardar una foto de "Ver 1 vez" fácilmente

Circula por la red un truco que llegó a mí de casualidad, donde se explica cómo conseguir ver más de una vez - e incluso capturar - las fotos que se envían por WhatsApp con la opción de "Ver solo 1 vez". Esta protección es una falsa sensación de seguridad y privacidad, porque cualquiera puede siempre grabar la fotografía con otro terminal y listo, pero además ha habido formas de guardarla.

Figura 1: Cómo guardar una foto de "Ver 1 vez" fácilmente en WhatsApp

El Septiembre del año pasado salió primero una forma de conseguir ver todas las veces que quisierais, algo que WhatsApp corrigió, pero aún quedo vulnerable y tuvo que volver a corregirlo. Esto es algo muy útil para nosotros, ya que WhatsApp Intelligence es una disciplina que cada día es más importante para los Pentesters, para los equipos Red Team y para los Researchers, por lo que conocer todas estas técnicas son fundamentales. En el libro de WhatsApp Intelligence vamos recopilando todo este conocimiento.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

En el caso de hoy, el Leak funciona perfectamente, pero debes seguir bien los pasos. Yo lo he probado al detalle en mi entorno, que es un iPhone con iOS 18.2 y la última versión de WhatsApp Business, pero que tú tienes que probarlo en tu propia versión. Os cuento cómo me funciona a mí.

La gestión del almacenamiento en WhatsApp: El leak del puntero

La app de WhatsApp trae una opción para poder gestionar todos los archivos recibidos por cada uno de los chats. La tienes en las opciones de administración, y te los ordena por quién está ocupando más almacenamiento en tu cuenta a quién está ocupando menos.

Figura 3: Gestión de almacenamiento de WhatsApp

Ahí puedes buscar todos los chats, y en cada uno de ellos verás los audios, fotos y vídeos que se han enviado, donde aparecerá algo como esto que tienes en la imagen siguiente:

Figura 4: Archivos enviados por ese chat

Si os fijáis, podéis ver que hay fotos y vídeos con miniaturas - que yo he cubierto de negro - y otros que tienen una interrogación, que son archivos de "View Once". Pero.... aquí viene la historia. Si hacéis clic en ellos NO LOS VAIS A PODER VER. Vaya, tu gozo en un pozo, ¿verdad? Sin embargo, después de darme cuenta de cómo funcionan, es verdad que hay un leak, ya que cuando haces clic en ellos te enseña la primera foto (¡que es la que más pesa! - o la que más ocupa -). Así que hay preparar esto para que pueda funcionar la visualización (aunque luego no va a ser necesario).

Cómo ver una foto View  Once muchas veces: Cómo verlo

Para que puedas probar el leak hay que conseguir que la foto de "View Once" sea la primera, así que puedes borrar el chat y dejarlo preparado, que es lo que he hecho yo para reproducir el leak.

Figura 5: Paso 1, vaciamos el chat

Ahora, cuando se reciba la foto de "Ver 1 vez" acabará la primera de la lista sí o sí. Como podéis ver en esta otra captura que os muestro a continuación.

Figura 6: La imagen de "View Once" es la primera

Ahora podrás verla todas las veces que quieras, pero no te deja capturar la imagen. Así que el "leak" es verdad que existe. Pero "weaponizarlo" de esta forma no es tan útil. Hay una manera más fácil.

Figura 7: Ahora lo podemos ver, pero no capturarlo

Capturando la imagen de Ver 1 vez

Como podemos ver en la Figura 4 y la Figura 6, las imágenes de "Ver 1 vez" se quedan almacenadas aunque no se puedan ver (como en el caso de la Figura 2) o capturar (como en el caso de la Figura 6) pero hay una forma de capturarlo. Para ello tienes que enviarte tú una imagen que no sea de "View Once", tal y como puedes ver aquí.

Figura 8: La primera foto enviada normal (la de más tamaño) por mí.

Las otras dos enviadas con "View Once"

En ese momento, podrás entrar a ver esa imagen porque se ha enviado normal, aquí la ves capturada y lo único que hay que hacer es Borrarla. El bug, que ya no es un leak, es que al borrar esa imagen con la papelera que aparece abajo a la derecha, y entonces la app de WhatsApp abre la siguiente de la lista, y si ésta es una de "View Once", te la muestra.

Figura 9: Se ve la foto normal y se borra

Y no sólo te muestra la siguiente imagen que es de "View Once", sino que te la muestra con el visor sin proteger contra captura de pantalla, así que puedes capturarla tranquilamente y conservarla. Y si la vuelves a borrar, pues te muestra la siguiente.

Figura 10: Captura de foto de View Once

Y si la siguiente también es de "View Once", pues le da lo mismo y te la vuelve a mostrar si borras la anterior, así que fácilmente puedes ir conservando todas las imágenes enviadas, aunque sean de ver sólo una vez.

Figura 11: Captura de la siguiente foto de "View Once"

Como podéis ver es un bug bastante gordo que supongo que WhatsApp arreglará en breve, pero mientras tanto ten en cuenta que es así de fácil capturar todas tus fotos que envíes de "Ver 1 sola vez". Pero esto es igual de fácil hacerlo con otro terminal haciendo fotos... recuérdalo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)