WhatsApp: Cómo guardar para siempre las fotos de 1 sólo uso "View Once"

Las fotografías de WhatsApp de "View Once", es decir, las imágenes de "1 sólo uso", tienen el riesgo de dar una falsa sensación de seguridad a sus usuarios. Primero porque cualquiera puede hacer una fotografía con otro dispositivo a esa foto, así que no hay garantía que no te la capturen. Segundo porque hay un leak de información con la miniatura que permite que se capture, como expliqué en el artículo:"WhatsApp: El leak de las miniaturas en las fotos de un sólo uso y su reconstrucción con GenAI". Ahora, un investigador ha explicado lo fácil que es guardarlas en tu ordenador.

Figura 1: WhatsApp: Cómo guardar para siempre

las fotos de 1 sólo uso "View Once"

Al final, es posible capturar el tráfico de WhatsApp y por tanto saber dónde se almacena el fichero cifrado en los servidores de WhatsApp, y conseguir las claves de descifrado para poder descargar la foto, descifrarla y almacenarla.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

WhatsApp Intelligence es una disciplina que cada día es más importante para los Pentesters, para los equipos Red Team y para los Researchers, por lo que conocer todas estas técnicas son fundamentales. En el libro de WhatsApp Intelligence vamos recopilando todo este conocimiento.

Figura 3: El WhatsApp de la derecha envía una foto de View Once

Figura 4: El WhatsApp de la izquierda recibe el mensaje pero NO se

 visualiza la foto ya que sólo está disponible en el terminal del móvil.

En este caso de las fotos de un sólo uso, el proceso es más sencillo de lo que parece. Basta con tener el cliente de WhatsApp Web y obtener el tráfico con la ubicación de la fotografía, ya que el cliente de WhatsApp Web, a pesar de no mostrar la foto - y ser necesario ver la fotografía en el dispositivo móvil -, el cliente recibe la información completa.

Figura 5: Tráfico capturado en la sesión del cliente de

WhatsApp que recibe el mensaje de View Once

(Con URL de almacenamiento, vector de inicialización y ciperkey)

Lo primero que hay que hacer es ver dónde está la fotografía almacenada en los servidores de WhatsApp, por lo que copiando esa URL podemos descargar el archivo de la foto, pero cifrada en formato .enc (encrypted).

Figura 6: Se captura la URL y se puede descargar el fichero cifrado.

Como se puede ver en la imagen, están la Clave de Cifrado y el Vector de Inicialización necesarios para descifrar la fotografía, así que podemos acceder a la información necesaria para descifrarla.

Figura 7: Claves de descifrado para el cliente de WhatsApp

Para ello, utilizando OpenSSL, el nombre del fichero (en este ejemplo se ha renombrado a WA-image2.enc), y con la Cypher-key y el iv, se puede sacar la fotografía.

Figura 8: Usando OpenSSL para descifrar la foto en formato .enc

Y una vez que la hayamos descifrado - a pesar de que dé error la salida de OpenSSL -, podemos verla, almacenarla y tenerla siempre disponible sin que se haya cumplido la opción de "View Once".

Figura 9: Foto descifrada

Por supuesto, quitar de todos los clientes de WhatsApp en Web o en Desktop de esta información se podría limitar el acceso a la Decypher-Key e IV, pero aún así, con un cliente de WhatsApp en cualquier dispositivo móvil con Jailbreak (iPhone) o Rooted (Android) se podría seguir accediendo a esa información.

Figura 10: La foto descifrada almacenada

Pero como he dicho al principio, lo más importante es que la fotografías de un sólo uso es una falsa sensación de seguridad, porque siempre se puede hacer una foto con otro dispositivo, pero esta demostración tiene un acceso completo al binario de la fotografía, con lo que viene completo hasta el último bit. Puedes ver el proceso completo en el vídeo que ha publicado el investigador.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: El leak de las miniaturas en las fotos de un sólo uso y su reconstrucción con GenAI

Si piensas que al enviar una fotografía de un sólo uso en WhatsApp el que la recibe no va a poder conservarla es que aún crees en hadas, lo cuál es muy bonito, pero nada práctico para la vida real, donde te vas a encontrar otro tipo de seres. Lo cierto es que en un mundo de equipos electrónicos con cámaras, y donde hay el doble de dispositivos móviles que de personas, cuando envías una fotografía de un sólo uso en WhatsApp, la probabilidad de que alguien le tire una foto con otro smartphone y tenga una copia en 4Ks es más que probable.

Figura 1: WhatsApp y el leak de las miniaturas en las

fotos de un sólo uso y su reconstrucción con GenAI

Teniendo eso en cuenta, y aprovechando la llegada de los Locked Chats en WhatsApp que vienen a traer más privacidad, el resto de este artículo no es más que un juego con GenAI y un pequeño leak que tiene WhatsApp - que es verdad que es pequeño - pero que es un leak y quería contároslo, que ya sabéis que nos encanta esto de buscarle las esquinas al WhatsApp para hacer cosas de ciberseguridad.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

El caso es el siguiente, te envían una fotografía por WhatsApp de un único uso, buscas una cámara cercana - yo muchas veces uso directamente la de mi MacBook Pro, y le tiras una foto problema resuelto.  Pero a veces no tienes esa cámara, o simplemente no es tan importante esa foto, pero quieres guardar constancia de que recibiste esa foto. 

El leak de las miniaturas de WhatsApp en iPhone

Si intentas conectar tu iPhone (perdón a los lectores de Android, pero lo he probado todo en iOS), y tener la pantalla de tu iPhone en tu ordenador para hacer una captura o grabarlo - como hacía yo en antaño con las fotos y vídeos con autodestrucción de Telgram - no es posible. Y si intentas hacer una captura de pantalla, también recibes una captura capada.

Figura 3: Captura de pantalla bloqueada. Bien.

Sin embargo, la pantalla sigue teniendo funciones, y se puede interactuar con ella, por ello puedo poner emoticonos a la foto - incluso sin poder capturarla - y puedo recibir alertas sobre la foto como esta de Mi Hacker Teenager Edition que me está ayudando a hacer las pruebas de este artículo.

Figura 4: La captura de los menús y acciones

sobre la foto siguen siendo capturables en WhatsApp.

Y ahí está el pequeño Leak, porque si pulsas sobre los tres puntos para sacar el menú, tienes la opción de "Reportar" a WhatsApp esta foto como dañina, spam, peligrosa, etcétra .. y en el menú, sale la miniatura de la fotografía que sí que es capturable.

Figura 5: WhatsApp tiene un leak con las

miniaturas de las fotos de un solo uso.

Por supuesto, a la calidad que hace las capturas hoy en día iPhone se puede obtener una miniatura que deja bastante claro qué tipo de fotografía, e incluso de quién la has recibido. En este caso es de la "bestia asesina" de Mi Hacker y Mi Survivor, que está mirando con "agresividad aterradora".

Figura 6: Miniatura a tamaño original

Podéis hacer muchas pruebas, pero la calidad de la miniatura, a pesar de tener unas dimensiones muy pequeñas, sirve para reconocer bastante bien la fotografía. Aquí le pedí a ChatGPT que me la describiera y lo hace muy bien, así que se puede incluso automatizar bien este proceso.

Figura 7: ChatGPT describiendo la miniatura

A partir de aquí, además, puedes jugar con la Inteligencia Artificial para mejorar la calidad de la misma. Yo estuve probando con muchas herramientas para mejorar la calidad, para mejorar la definición, y para hacer algo muy chulo con la GenAI que es hacer un Image Enhanced, donde se utiliza un modelo que crea una imagen usando como Prompt de entrada la imagen que tiene.

Figura 8: "Imagen Upscaled" usando IA

Usando diferentes herramientas de restauración de fotos, escalado, etcétera, todas utilizando IA, se puede conseguir una imagen mejor, pero al final para esta prueba me decidí a utilizar Gigapixel, que utiliza GenAI para hacer el "Enhaced" y que tiene algoritmos especiales de Face Recovery.

Figura 9: Trial de Gigapixel con Face Recovery

Y bueno, el resultado es el que podéis ver a continuación, donde el modelo de GenAI crea una "bestia parda" muy parecida a la fotografía original.

Figura 10: Foto Enhanced con GenAI de la miniatura de WhatsApp

Para que os hagáis una idea de lo bien que funciona esto con fotos de personas, he puesto una foto de 50x63 píxeles a 72 ppp de mí, que podéis ver aquí a tamaño original. 

Figura 11: Miniatura de 50x63 píxeles

de Chema Alonso

Y utilizando los algoritmos de Gigapixel, podéis ver cómo es posible conseguir a partir de una imagen tan pequeña como esa miniatura conseguir resultados más que aceptables en la creación. Aquí con dos algoritmos de reconstrucción que viene, el modelo Standard v2 y el de High Fidelity.

Figura 12: Reconstruyendo la miniatura con Gigapixel

Pero si aplicamos el algoritmo de Face Recovery usando GenAI que viene con Gigapixel, en este caso centrado en la calidad y no en la velocidad, podéis ver que el resultado es aún mejor.

Figura 13: FaceRecovery en Gigapixel sobre la miniatura

Os dejo aquí el resultado final de la fotografía recuperada a partir de la miniatura de la cara de una persona, en este caso la mía propia. Bastante aceptable el resultado final obtenido.

Figura 14: De una miniatura a una foto recreada con GenAI

Con todo esto, las conclusiones de este artículo son bastante sencillas, que os paso a resumir aquí:

• Las fotos de 1 sólo uso en WhatsApp son una falsa sensación de seguridad, porque cualquiera puede hacerle una foto de alta calidad y listo.

• WhatsApp tiene un leak con la miniatura de la foto de un sólo uso que tal vez debería corregir.

• Con IA & GenAI se puede conseguir una foto bastante decente a alta calidad a partir de una miniatura.

Y lo más importante, el artículo pretendía ser una lectura entretenida con el mundo de la tecnología y educativa para Mi Hacker y Mi Survivor. Espero que lo sea también para vosotros.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

GenAI para DeepNudes, DeepFakes & Foto Expansión de Imágenes de "fantasía"

Hace tiempo que existen las técnicas de DeepNude, donde como os comenté, se utiliza GenAI para desnudar a personas. La idea es coger imágenes con poca ropa, y eliminarla con GenAI para dejar a una persona expuesta. Esto, como os comenté hace mucho tiempo, es un delito hoy en día, y es uno de los casos malos de la GenAI.

Figura 1: GenAI para DeepNudes, DeepFakes

& Foto Expansión de Imágenes de "fantasía"

Recuerdo que hace tiempo os conté el caso de cómo a unas jóvenes adolescentes se lo habían hecho en un pueblo de España, y no había sido nada divertido para ellas. Y son muchos los afectados por este tipo de técnicas de DeepNude que ya están tipificadas como delito en muchos países.

Figura 2: Con un solo clic el algoritmo desnuda la fotografía

Otra de las cosas que hay dentro de la fantasía es la de generar vídeos de pornos usando técnicas de DeepFake, lo que ha llevado a que sea una categoría más en la industria del porno y a que ya haya portales verticalizados solo especializados en estas técnicas. De nuevo, el GenAI dedicado en otro caso de uso que no es divertido para las personas afectadas.

Figura 3: Celebrities con vídeos XXX en una de las webs de DeepFakeXXX

En Estados Unidos detuvieron y condenaron a un hombre que hacía estos vídeos de chicas para humillarlas públicamente. 

Figura 4: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Con los modelos de Difussion, se pueden crear imágenes casi de cualquier tipo para cualquier persona simplemente con haberlos entrenado con 20 fotografías de una persona, como por ejemplo hacemos en MyPublicInbox, donde puedes generar cualquier imagen tuya con GenAI. 

Figura 5: Imagen generada con el prompt

"Chema as a hacker in hiper realistic punk art"

Pero una vez entrenado el modelo, también se puede usar para cosas horribles, como entrenar el modelo con imágenes de ninos y pedirle que genere imágenes pornográficas. Sobre esto, muchos son los casos de personas que han hecho imágenes pedófilas con GenAI en Estados Unidos, en UK, en Australia, y en casi cualquier país, que acaban en la cárcel.

Figura 6: Servicio The Realist en DevianArt

Por supuesto, dentro de esta industria de usar GenAI para el mundo erótico o pornográfico, los modelos de difusión se han hecho un hueco creando directamente a estrellas del mundo XXX que no existen, como vimos con The Realist, donde se genera contenido de alta calidad con personas que no existen, lo que hace que la fantasía sea total.

Figura 7: Servicio de Foto Expansion con GenAI en Fotor

Pero había una categoría de la aún no os había hablado, y que también tiene que ver con el uso de GenAI y el contenido de "fantasía". En este caso es parecido a DeepNude, pero haciendo Foto Expasión con IA Generativa para ver qué cara, cuerpo, vestido se pone a una foto parcial de una persona.

Figura 8: Se sube una sección de una imagen al servicio

de GenAI y se marca la zona de expansión

Con GenAI se puede hacer una extensión de una fotografía de manera muy sencilla, y las herramientas de diseño gráfico ya están incorporando estas opciones de serie. En este caso basta con subir una imagen parcial, en este caso unas piernas de mujer.

Figura 9: GenAI procesando la expansión con un

modelo de difusión a partir de la sección.

Y usar una herramienta de Foto Expansión con GenAI (en este caso Fotor), para ver qué cuerpo, ropa y cara sale. El proceso es tan sencillo como definir cuál es el tamaño y la forma final que se quiere y esperar la generación que se obtiene.

Figura 10: Imágenes generadas con GenAI

En este caso ha sacado a una modelo a la que ha dejado medio desnuda, y medio extraña la ropa que tiene encima, pero con un resultado bastante sorprendente. Todo ello es un modelo tipo Stable Difussion que usa como Prompt la sección de foto que le subes.

Figura 11: Imagen final de fantasía generada con GenAI

a partir de una sección de unas piernas.

Por supuesto, el juego consiste en recortar las partes concretas para conseguir un efecto deseado más efectista, mezclando el juego de hacer DeepNude, DeepFake y crear una fantasía nueva a partir de retazos de fotografías de personas. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo añadir "Silencio" a Twitter y Mastodon para reducir el "Ruido"

Decía la canción de "Joaquín Sabina" que "Hubo tanto ruido, que al final llegó el final", como forma de representar metafórica el ruido como discusiones a gritos. Esto, por desgracia, a veces también sucede en las redes sociales como Twitter o Mastodon  y por eso existen herramientas para "Silenciar" ese "Ruido". Yo no uso las redes sociales para debatir y no paso demasiado tiempo en ellas, pero sí que son un canal que me permite interactuar puntualmente con personas, así que tengo presencia en Twitter (@chemaalonso) y Mastodon (@chemaalonso@ioc.exchange).

Figura 1: Cómo añadir "Silencio" a Twitter y Mastodon para reducir el "Ruido"

Ya os conté en el artículo de "Colaboradores pasivos de abusones en redes sociales" mi visión sobre los que vienen metiendo "ruido" en estas plataformas y hoy os quería hablar de las opciones que tanto Twitter como Mastodon tienen para "silenciar" ese ruido.

Twitter: Opciones para silenciar el ruido

Al final, el objetivo de los que meten "ruido" en una plataforma es que lo escuches y generar una reacción en la persona. Así que, para que eso no pase, tienes dos opciones. Bloqueo (ya no lo escucharás en el futuro) o Silenciar (que podrá seguir gritando pero no lo oirás). Ambas opciones tienen ventajas e inconvenientes según a quién preguntes. Bloquear hacer que sepa que has reaccionado (con el bloqueo), pero ya no le dejarás que te grite desde esa cuenta. Silenciar, hace que no haya reacción, pero te podrá seguir gritando.

Figura 2: Bloquear y Silenciar en Twitter

La recomendación al final es, bloquea las cuentas que sean de personas o con muchos seguidores (porque no es una cuenta creada para ti solo), silencia las que sean cuentas creadas solo para gritarte a ti, que normalmente son falsas tienen poco tiempo de vida, y no están configuradas bien.

Figura 3: Silenciar notificaciones de cuentas que no te interesen

De hecho, para evitar que te tengas que preocupar de silenciar estas cuentas, puedes utilizar las opciones de filtros de notificaciones que trae Twitter para que silencies todas aquellas cuentas recientes, las que no sigues, las que no te siguen, las que no tienen foto, bio, las no verificadas con número de teléfono (para que en caso de delito se pueda perseguir a esa persona), etc... 

Figura 4: Filtro de calidad que elimina tweets de poca calidad

Además, Twitter tiene el "Filtro de Calidad", para que no te lleguen las notificaciones de tweets que tengan lenguaje de odio, insultos, etcétera, algo que yo tengo aplicado para evitar retweets o likes a ese tipo de mensajes que pudieran salir en mi time-line.

Figura 5: Silenciar tweets que contengan palabras filtradas

De hecho, además, tienes la opción de silenciar palabras, algo muy recomendable si no te interesa la política - como a mí - y quieres tener bloqueados todos los tweets que emiten mensajes de política en Twitter, haciendo que lo que te llegue sea lo que te interesa a ti. En mi caso, las actividades de la gente que sigo, y temas de ciberseguridad, tecnología e innovación.

Figura 6: Filtros para tweets en Twitter

Siempre tienes la opción de hacer Privada la cuenta, para que solo vean tus mensajes aquellos a los que autorizas a que te sigan. Así que, si tienes una cuenta Twitter solo para tus amigos, compañeros, o para debatir con gente que sepas quién es, es una buena opción.  Y por último, recuerda que si alguien te sigue, y no te gusta cómo reacciona a tus publicaciones porque es un "random", le puedes forzar a que te deje de seguir con este truco que existe en Twitter.

Mastodon: Opciones para silenciar el ruido

Muy similar en Mastodon. Aquí, además, tienes que ver las peculiaridades de cada plataforma, pero todos los servidores tienen opciones de Bloquear, Silenciar y poner la cuenta en Privado, así que esa parte la puedes hacer de la misma forma.

Figura 7: Bloquear notificaciones de personas que no te siguen o que no sigues

En la parte de Notificaciones tienes opciones para evitar que lleguen de aquellas personas a las que no sigues o que no te siguen. Algo que acaba limitando un poco el nivel de interés en una cita directa que salga en tu Time-Line.

Figura 8: Filtros en Mastodon

También, al igual que en Twitter, puedes generar filtros para que los mensajes que lleguen en tu Time-Line no lleven términos que no te interesan, así tendrás una experiencia con mucho menos ruido en Mastodon.

Conclusión

Las redes sociales deberían ser un lugar para que disfrutes más de Internet, por lo que no tienes que aguantar en Twitter o Mastodon a gente que no aguantarías en la vida real. Siempre hay gente que hacer "ruido", así que aplícale "silencio". Hay un capítulo de BlackMirror en el que como castigo a una persona se la hace invisible e inaudible en el mundo para todas las personas, en Twitter y Mastodon se puede hacer.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Calendario de Adviento Solidario de Helpncare

Esta semana he estado hablando con la gente de Helpncare Solidaridad sobre su proyecto de Calendario de Adviento Solidario, y la verdad es que me ha parecido una idea muy sencilla para recordar actividades, y acciones que ayudan a mejorar un poco el mundo. Así que me he animado a compartirlo con vosotros por si os animáis a seguir algunas de estas acciones o, por lo menos, difundirlo con los demás.

Figura 1: Calendario de Adviento Solidario de Helpncare 

El equipo de Helpncare es una organización dividida en grupos de impacto social para trabajar en acciones de impacto en áreas de trabajo como el Medio Ambiente, Mundo Animal, Solidaridad, o enfermedades de las personas como la Ludopatía, el Cáncer o la Salud en general, así como para ayudar a luchar contra el Maltrato Psicológico o el Bullying (y Cyberbullying). 

Figura 2: Grupos de trabajo de Helpncare

Para ello, a parte de los grupos de trabajo que tienen, el equipo de Helpncare, ha definido el juego que os decía al principio, y que puede ser una buena forma de trabajar con los más peques de la casa, que suelen estar enganchados a otro tipo de calendarios de adviento, de chocolate, juguetes o productos de cuidado personal.

Figura 3: Acciones del Calendario de Adviento Solidario

En este caso, se trata de recordar cada día una acción que mejora la vida de las personas. Una pequeña acción que hacer con tu familia, tus amigos o tus seguidores en redes sociales, para hacer que algo mejore algo, que aunque sea pequeño el aporte, siempre cuenta.

Figura 4: Contactar con Helpcare Solidaridad en MyPublicInbox

Si quieres colaborar más con esta ONG, puedes contactar con ellos que tienen cuenta en MyPublicInbox, y donarles los Tempos que tengas, que también son un proyecto solidario que puedes seleccionar para ello en la plataforma. 

Figura 5: Acciones del Calendario de Adviento Solidario

Pero con que hagas, compartas y animes a otros a que hagan el Calendario de Adviento Solidario, es suficiente. Además, para los que lo cumplan, habrá un sorteo de una cesta navideña con regalos y juguetes, y hasta con Tempos, pero lo que vale la pena es hacer las acciones.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)