La ciberseguridad debe ser prioritaria en cualquier organización, más cuando se supone que 7 de cada 10 empresas españolas utilizan WhatsApp Business para conectar con sus clientes. Se trata de una aplicación de descarga gratuita disponible en Android y en iPhone. Fue desarrollada especialmente para que microempresas y pymes pudieran promocionar productos, generar leads, como servicio de atención al cliente o la resolución de dudas.
Lo primero que debemos señalar es que WhatsApp, la aplicación de mensajería instantánea más utilizada en el mundo propiedad de Facebook, no hace distinciones, en materia de seguridad, entre los usuarios normales de la aplicación, WhatsApp Messenger, y los corporativos, WhatsApp Business. Por lo tanto, estas recomendaciones sirven para cualquier usuario de la aplicación, aunque aquí pongamos el foco en el ámbito empresarial.
Cierto que se trata de una aplicación gratuita, rápida y sencilla que casi todos los clientes tienen. Sin embargo, se debe tener precaución al usarla. Hace más de dos años que Luis Márquez Carpintero y Ernesto Canales Pereña, compañeros en la Facultad de Ingeniería Informática, identificaron un grave fallo de seguridad en WhatsApp. Comprobaron que cualquier persona, con escasa o ninguna formación informática, podría bloquear la aplicación de mensajería instantánea de un usuario teniendo solo conocimiento de su número de teléfono al seguir los pasos de recuperación, que consisten en incluir el número y una clave de verificación.
Un grave fallo de vulnerabilidad
El engaño era sencillo y el error estaba en el mismo sistema de seguridad de la aplicación a la que todos accedemos inicialmente a través de un código con seis dígitos que nos facilitan como SMS desde la compañía para asociar al acceso a WhatsApp desde ese número de teléfono. El fallo es que, cualquier otro que tenga tu número, puede contactar con WhatsApp desde otro dispositivo. El atacante instala WhatsApp en un nuevo móvil e introduce tu número para activar el servicio.
No pueden verificarlo porque la clave llega a tu número de móvil. Como ha usado tu número, introduce varias claves de verificación aleatorias que fallan y que provocan que, tras varios intentos, WhatsApp no permita al atacante introducir nuevos códigos de seis dígitos para validar esa cuenta durante 12 horas. «Tampoco la víctima puede introducir esos códigos -ahí está la gracia-. Además, cuando reiterabas este proceso por una tercera vez las 12 horas, pasaban a un tiempo indefinido (no determinado) muy superior a esas 12 horas», matiza Márquez.
De nada de esto tiene constancia el atacado porque todo funciona como siempre. El problema es que, mientras la cuenta está bloqueada, el atacante envía un correo electrónico (desde una dirección provisional) a la dirección de soporte de WhatsApp comunicando que ha extraviado el móvil o que se lo han robado, motivo por el que solicita que el servicio se desactive. WhatsApp entiende que la identidad del atacante corresponde a la legal y, sin más comprobaciones, la cuenta de WhatsApp queda bloqueada.
Dicha vulnerabilidad abría la puerta a que una persona malintencionada o un ciberdelincuente, pudiera obtener datos sensibles, imágenes o archivos de valor, entre otros, y chantajear o extorsionar con ello a la víctima del bloqueo, aunque no diese acceso a sus mensajes o contactos.
Cuando descubrieron la falla, Luis Márquez y Ernesto Canales se apresuraron a comunicárselo a WhatsApp para su corrección, pero no consiguieron contactar con ellos. Convencidos de que era una información con cierta trascendencia para los millones de usuarios que usan la aplicación a diario, optaron por trasladar la noticia a los medios de comunicación. Solo uno, y pasado el tiempo, les hizo caso. A raíz de hacerse pública, todos los demás se hicieron eco.
El fallo convertido en libro
A partir de la repercusión mediática, WhatsApp decidió subsanar parcialmente el error de manera que, aunque todavía es posible cancelar la cuenta, ya solo se puede hacer una vez.
Este episodio lo vivieron Luis Márquez y Ernesto Canales, cuando Márquez estaba inmerso en la elaboración de su Trabajo de Fin de Máster (TFM ) sobre las conversaciones en WhatsApp. Actualmente, Marquez es ya ingeniero informático y trabaja como investigador en la Universidad de Alicante.
Fruto de esta historia y de su experiencia en ciberseguridad es el título del libro que acaba de publicar ‘WhatsApp INT: OSINT en WhatsApp’ con la editorial 0xWORD.
Las 4 medidas fáciles de ciberseguridad y los pasos
En el libro desvela Márquez todos los secretos del funcionamiento de WhatsApp y facilita algunos consejos para defenderse de posibles vulnerabilidades. Le pedimos que dé algunas recomendaciones fáciles para cualquiera y estas son las cuatro que apunta:
1. Verificación en dos pasos
Es, en su opinión, el más importante y consiste en activar la verificación en dos pasos, algo que te protege de forma sencilla de posibles ataques.
¿Cómo hacerlo? Es muy fácil. Cuando inicias tu sesión de WhastApp con un número de móvil determinado, la compañía te manda por SMS en código para darte de alta. Nosotros los aceptamos, lo introducimos y ahí se queda.
La mayoría desconocemos que existe una posibilidad de solicitar el doble check, es decir, añadir a ese SMS una contraseña propia en un segundo paso que solo nosotros conocemos. Los pasos para hacerlos son los siguientes:
– Ajustes en WhatsApp
– Cuenta
– Verificación en dos pasos
«Con la contraseña no solicitas un bloqueo, pero impides a otros que inicien sesión en tu cuenta, y por tanto, que puedan cerrar tu cuenta de WhatsApp teniendo en cuenta que, cuando WhatsApp detecta un inicio de sesión en un segundo dispositivo cierra la sesión del primero, aclara Márquez.Esta opción que, a su juicio, debería salir por defecto, resulta opcional y debe añadirla el usuario de forma manual.
2. PIN a las copias de seguridad realizadas en Google Drive
Otra de las medidas que aconseja Márquez es la de establecer un PIN a las copias de seguridad realizadas en Google Drive, para proteger los datos volcados en la nube. También esta es una opción desconocida para la mayoría y que no viene activada por defecto.
¿Cómo hacerlo? Los pasos son estos:
– Ajustes en WhatsApp
– Chats
– Copia de seguridad
– Activar la opción de copia de seguridad de extremo a extremo que, por defecto, viene desactivada.
– Guardar en Google Drive
– Si no tienes una cuenta de Google vinculada, toca Añadir cuenta cuando se te indique e ingresa tus credenciales para iniciar sesión.
– Dale a guardar usando para seleccionar el tipo de red que quieras usar para guardar las copias de seguridad.
Al activar la opción de copia de seguridad de extremo a extremo te pedirán un correo electrónico y te preguntará la frecuencia con la que quieres guardar las copias de seguridad, ignora la de Nunca. Recuerda Márquez que, al contrario de lo que mucha gente piensa, «la copia de seguridad en la nube, sorprendentemente, apenas ocupa espacio es en esa misma nube».
Estas son las dos precauciones básicas que, a juicio de Márquez, cualquier usuario de WhatsApp debería aplicar. Luego ya hay otras dos menos trascendentes pero que también son interesantes.
3. Activar las notificaciones de seguridad
Activar las notificaciones de seguridad en el dispositivo contribuye a saber si la comunicación ha sido interceptada.
¿Cómo hacerlo? Los pasos para activarla son:
– Ajustes WhatsApp
– Cuenta
– Notificaciones de Seguridad
– Marca la casilla de mostrar notificaciones de seguridad en este dispositivo.
Se recomienda tener la app de Whastapp actualizada con el fin de disponer de todas las nuevas herramientas y funciones añadidas. Las notificaciones de seguridad solo están disponibles en un chat que está cifrado de extremo a extremo. Cuando cambiemos un número de teléfono automáticamente se le va a enviar a notificarlo a nuestros amigos y viceversa.
4. Activar la opción de huella dactilar
Habilitar el bloqueo con huella dactilar en WhatsApp es una buena medida de seguridad para proteger tus conversaciones y mantener la privacidad de tus mensajes. Recuerda que aunque, hayas habilitado el bloqueo con huella dactilar, aún podrás atender llamadas cuando la aplicación esté bloqueada. El problema, según algunos, es que no podrás acceder a tu cuenta si el sensor no funciona correctamente.
¿Cómo hacerlo? Si aún así la quieres habilitar estos son los pasos que debes seguir:
– Ajustes WhatsApp
– Privacidad
– Bloqueo con huella dactilar
Con esta nueva función, bloquearás unos chats de manera que para entrar a ellos haga falta escribir una contraseña o desbloquearlos con tu huella dactilar. La función de la autenticación biométrica lleva funcionando desde 2019, tanto en iOS como en Android, «lo que no tengo claro es poder usar un PIN en lugar de la autenticación biométrica porque jamás he hecho la prueba en un móvil que no acepte huellas dactilar», añade Márquez.
¿La app de mensajería más segura para tu empresa?
Por delante de WhatsApp y bastante mejor que Telegram, Luis Márquez no tiene duda a la hora de recomendar la app de mensajería con más garantías de seguridad en este momento: Signal. Se trata es una aplicación de mensajería instantánea y llamadas, libre y de código abierto nacida en EE.UU en 2014 que hace especial hincapié en la privacidad y la seguridad.
Puede ser utilizada para enviar y recibir SMS, MMS y mensajes de datos cifrados. No en vano, desde febrero de 2020, Signal es la aplicación recomendada para la mensajería instantánea por la Comisión Europea y su personal.
No obstante, teniendo en cuenta que WhatsApp es utilizado por 1.600 millones de personas frente a los 40 millones de usuarios activos (enero de 2021) que tiene Signal, Luis Márquez es consciente de que no puede recomendar a una empresa que renuncie a la red de mensajería de Facebook a la hora comunicarse con los clientes. “Aún es evidente la diferencia de penetración en el mercado -dice- pero sí recomendaría a las empresas que utilizasen Signal para la comunicación interna”, concluye.
