¿Realmente nos pueden espiar el WhatsApp?
La aplicación de mensajería es mucho más segura de lo que se podría pensar, pero hay medidas que se pueden tomar para reducir al máximo los riesgos
¿Quién queda sin WhatsApp hoy en día? Si alguien accediera a una cuenta de la popular plataforma de mensajería, podría dibujar un perfil muy preciso de la persona en cuestión: fotografías, mensajes, audios, forma de escribir… Toda nuestra vida pasa (y se detiene) ante las notificaciones de esta app. Sabiendo esto, ¿viaja segura nuestra información en WhatsApp?
Lo primero que hay que hacer es comprender qué pasa cada vez que se pulsa al botón “enviar” en WhatsApp: la comunicación se basa en un modelo cliente-servidor, donde los mensajes se encriptan de forma segura y se transmiten...
¿Quién queda sin WhatsApp hoy en día? Si alguien accediera a una cuenta de la popular plataforma de mensajería, podría dibujar un perfil muy preciso de la persona en cuestión: fotografías, mensajes, audios, forma de escribir… Toda nuestra vida pasa (y se detiene) ante las notificaciones de esta app. Sabiendo esto, ¿viaja segura nuestra información en WhatsApp?
Lo primero que hay que hacer es comprender qué pasa cada vez que se pulsa al botón “enviar” en WhatsApp: la comunicación se basa en un modelo cliente-servidor, donde los mensajes se encriptan de forma segura y se transmiten a los servidores de la plataforma antes de ser redirigidos al receptor. Este enfoque de cifrado de extremo a extremo asegura que solo el receptor puede decodificar y leer el mensaje, lo que garantiza un elevado nivel de privacidad y seguridad.
Es factible que las conversaciones puedan ser espiadas, pero muy difícil. “No es algo imposible, pero sí requiere de un gran esfuerzo”, explica Ángela G. Valdés, del INCIBE (Instituto Nacional de Ciberseguridad). “Por lo general, no será un tipo de ataque proveniente de redes de ciberdelincuencia, sino de alguien cercano que tenga un interés concreto en nuestras comunicaciones”, añade.
En este sentido, los ciberdelincuentes, conscientes del blindaje de la plataforma, optan por el engaño: se hacen pasar por alguien en apuros que necesita urgentemente un código que llegará al móvil en propiedad del titular de la cuenta de WhatsApp. Este extremo lo confirma Valdés: “Las consultas más frecuentes que recibimos en cuanto a riesgos y fraudes asociados a WhatsApp son, por una parte, el robo de cuentas y, por otra, los falsos mensajes aludiendo ser un familiar o amigo en situación de riesgo o apuro por la que necesitan que se les envíe cierta cantidad de dinero”.
En esos casos, por descontado, no hay que hacer clic ni responder a los citados mensajes. “Como recomendación, es importante desconfiar de cualquier enlace o archivo que nos envíen por WhatsApp, mensajes, correos u otros canales”, explica Luis Suárez, ingeniero de ventas en Fortinet. “Conviene tener siempre el teléfono y sus aplicaciones actualizadas y no dejarlo desatendido físicamente al alcance de terceros, que pueden aprovechar ese tiempo para instalar un cliente RAT/spyware/stalkerware”.
¿Cómo saber si la cuenta de WhatsApp está comprometida? Como hemos apuntado, gracias al cifrado de extremo a extremo, resulta muy complejo el hackeo de una cuenta de WhatsApp. Los delincuentes emplean tácticas más subrepticias que plantean una inquietante duda al usuario, ¿está mi cuenta de WhatsApp comprometida y no me he enterado? “Si el atacante lo que busca es espiar a la víctima, intentará por todos los medios pasar desapercibido”, apunta Suárez, por lo que realizará cambios en los ajustes. “La última hora de conexión a WhatsApp o dejar las marcas de recibido y lectura (doble tick azul) pueden hacer que la víctima llegue a sospechar, por lo que el atacante intentará cambiar en la configuración este tipo de ajustes para pasar más desapercibido”, desarrolla Suárez.
Para salir de dudas, este experto recomienda “revisar periódicamente las sesiones activas en WhatsApp web y cerrar aquellas que no se vayan a utilizar, especialmente en ordenadores compartidos”. Pero hay más pistas que nos pueden alertar sobre una cuenta de WhatsApp que ha sido comprometida, como un excesivo consumo de la batería cuando el dispositivo no está siendo utilizado. Suárez sugiere comprobar de vez en cuando los sistemas de monitorización del consumo de batería (en Android, Ajustes/Batería/Uso de la batería; en el iPhone, Ajustes/Batería) y ver si el consumo de recursos de cada aplicación se corresponde al uso real.
Los primeros interesados en garantizar la seguridad de uso frente a ojos ajenos son los propios proveedores del servicio: WhatsApp ofrece un servicio que permite una comprobación rápida de la privacidad de la cuenta. En él, el usuario deberá verificar que tiene la verificación de dos factores activada, la protección de la app mediante sistemas biométricos, así como recomendaciones adicionales en materia de privacidad.
Qué hacer para blindarse
Como hemos apuntado antes, WhatsApp es una plataforma muy segura, pero no inexpugnable. Sin embargo, el usuario puede elevar el listón de la seguridad al nivel más alto siguiendo los siguientes consejos:
Mantener el software siempre actualizado a la última versión: Se trata de una recomendación que machaconamente repiten tanto los desarrolladores como desde las plataformas. ¿Por qué motivo? Los desarrolladores trabajan de forma infatigable por parchear las posibles debilidades del sistema y un software actualizado, se tendrá “la versión con las últimas vulnerabilidades corregidas”, como recomienda Juan Manzano, desde Stratesys. Este experto recuerda dos importantes vulnerabilidades detectadas y solventadas en la plataforma, que “permitían ejecutar código remotamente a los atacantes utilizando una función del componente de whastup Video File Handler”. “Una de ellas (CVE-2022-36934) durante una videollamada manipulada y la otra (CVE-2022-27492) a través de un archivo de vídeo malicioso”, concreta.
Evitar hacer clic a enlaces ni enviar códigos: Como suele ser habitual en materia de ciberseguridad, una vez instalada la última versión de la plataforma, la siguiente barrera de protección (y la más importante) será la prudencia y el sentido común. La máxima, en este sentido, es no hacer jamás clic en enlaces, salvo que se tenga la certeza de la autenticidad del remitente. Estos enlaces maliciosos se evitan con el sentido común, pero si, por imprudencia, se hace clic en ellos, existe todavía una última protección: los sistemas de detección de malware (programa maligno). Manzano recomienda la instalación de alguna aplicación antimalware “que proteja el teléfono de malware y ataques, manteniéndolo actualizado y en protección continua para que pueda detectar estos elementos”. “De esta manera, si llegamos a abrir por error algún elemento malicioso desde WhatsApp, el sistema antimalware tendrá la oportunidad de detectarlo y bloquearlo”, asegura.
Proteger WhatsApp mediante contraseña y no alejarse del móvil: Los amigos de lo ajeno conocen bien las debilidades del ser humano, y una de ellas es el exceso de confianza: dejar el móvil desbloqueado en la mesa de un bar mientras se va a la barra a por una bebida puede ser la antesala de un drama de consecuencias incalculables. Lo más recomendable es no perder nunca de vista el teléfono y, en cualquier caso, dejarlo siempre bloqueado cuando no se esté utilizando. WhatsApp permite el bloqueo de la app mediante contraseña, e incluso de las conversaciones dentro de la misma, una capa de seguridad que nunca sobrará.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.