¿Es WhatsApp seguro? Cómo protegerse y detectar un hackeo

Bezos, una de las personas más poderosas e influyentes del planeta, recibió el 1 de mayo de 2018 un vídeo que pesaba 4,22MB, un poco más de lo que ocupa el vídeo en sí, y que al parecer se envió desde el teléfono del príncipe heredero de Arabia Saudí, Mohamed bin Salman. Según las conclusiones de FTI Consulting, la empresa de seguridad que ha analizado el teléfono del propietario de Amazon, desde ese momento, el smartphone de Bezos pasó de enviar cada día una media de 430KB de datos (cantidad que el informe considera «bastante habitual en un iPhone») a 101MB, llegando a superarse algunos días los 4,5GB. FTI considera que hay una probabilidad «de media a alta» de que dicho vídeo incluyese un software que se instaló en el teléfono de Bezos. A partir de ese momento, toda la información del móvil estaba en manos de terceros, incluyendo correos electrónicos, mensajes y fotos que se podrían haber utilizado para intentar chantajearle.

Bezos es propietario también del Washington Post, periódico con el que colaboraba el periodista disidente con el régimen saudí Jamal Kashogghi, que fue asesinado en el consulado de su país en Estambul (Turquía) en octubre de 2018. Según ha publicado el periódico The Guardian, los resultados de la investigación de FTI plantean preguntas sobre si hay alguna relación entre el hackeo a Bezos y la publicación en el periódico amarillista estadounidense National Enquirer de detalles íntimos de la vida privada de Bezos; también sobre la posible relación entre la casa real saudí y el asesinato de Kashoggi. Arabia Saudí ha negado ser responsable del ataque al teléfono de Bezos.

El caso Bezos ha sido la puntilla a las dudas sobre la fiabilidad de la seguridad en WhatsApp, que ya estaba en entredicho. En junio de 2019, meses antes de que saltase el escándalo del caso Bezos, la ONU prohibió expresamente a sus trabajadores que usasen Whatsapp para sus comunicaciones. La razón es que el organismo internacional no considera que la aplicación sea un «mecanismo seguro» de comunicación.

El software que se sospecha puede haber facilitado el espionaje del móvil de Bezos es Pegasus, descubierto en 2016 y del que ya se supo el año pasado que podía infectar el teléfono incluso mediante una simple llamada. Whatsapp descubrió la vulnerabilidad en mayo de 2019 y no tardó en solucionarla.

Pegasus es capaz de tomar la información que desee del móvil que esté almacenada en las aplicaciones, rastrear los movimientos de la víctima o buscar en el sistema contraseñas que le permitan entrar en la red privada. Incluso infectar otros dispositivos. Después, el software limpia su rastro de forma que la víctima ni siquiera sabe que alguien le ha robado la información del teléfono. Pegasus es un software espía desarrollado por la empresa isrealí NSO Group, que desarrolla software y herramientas para gobiernos destinadas, en principio, a combatir el crimen y el terrorismo. Con todo, el spyware Pegasus se ha relacionado con el espionaje a organizaciones en defensa de los derechos humanos en los países árabes.

En WhatsApp los mensajes están cifrados de extremo a extremo, lo que supone que nadie va a poder interceptar el mensaje por el camino de un móvil a otro, pero sí se puede saber a qué hora se ha enviado y quién es el destinatario. El cifrado es uno de los valores de los que presume WhatsApp y lo cierto es que funcionó bien en el caso de Bezos; tanto, que la empresa que investigó el hackeo no pudo examinar el video que se supone estaba infectado.

WhatsApp también almacena datos como el IMEI del móvil, la operadora con la que funciona, las apps que hay instaladas o la ubicación. Además, las copias de seguridad que se almacenan en Google Drive o iCloud (según el sistema operativo del teléfono) no están cifradas y en caso de que un juez lo solicitase, la empresa revelaría las claves de cifrado.

Otra estafa que se ha detectado en WhatsApp utiliza la opción de compartir un código QR. El ciberdelincuente busca a su víctima en las webs de venta online de segunda mano y le envía un código QR con la excusa de realizar así el pago del producto. El QR pide el PIN y la cuenta bancaria y con esta información el delincuente ya tiene acceso al banco de la víctima.

Ana Santos, responsable del Área de Menores y Ciudadanos del Instituto Nacional de Ciberseguridad de España (Incibe), explica que en el caso de Bezos se trató de un mensaje dirigido a una persona específica «por interés económico, estratégico… o puede haber un interés personal. Son ataques costosos y avanzados, no los puede utiliza cualquier persona. Siempre hay métodos de ingeniería social y buscando vulnerabilidades. Hay empresas que invierten mucho dinero en crear malwares dirigidos. Las personas normales no estamos tan expuestas, aunque sí hay malware y aplicaciones espías para móviles».

Esos ataques tan sofisticados y específicos son muy poco habituales, pero eso no quita para que todos estemos expuestos a otros que sí requieren abrir un archivo que se ha enviado al teléfono o entrar en una web. Santos propone algunas recomendaciones:

● Utilizar aplicaciones de mensajería que tengan los mensajes encriptados, para que nadie puede interceptar la comunicación mientras viaja hasta el terminal.

● No descargar aplicaciones que no sean de las tiendas oficiales, como el App Store o Google Play. Nada de alterar el sistema operativo para descargar de otros sitios. Santos recomienda dejar el móvil como viene de fábrica e ir instalando únicamente aplicaciones de los market.

● Tener actualizadas las aplicaciones. Las empresas siempre preparan parches cuando detectan una vulnerabilidad, así que es recomendable tener siempre la última versión del software.

● Utilizar el bloqueo en el teléfono y también en la aplicación de mensajería. WhatsApp tiene el desbloqueo mediante huella o por reconocimiento facial como opción dentro de Ajustes > Privacidad.

● No dejar el móvil al alcance de otras personas por si aprovechan para instalar una app espía.

● Tener algún antivirus instalado en el teléfono.

● Si se utiliza una contraseña para el desloqueo, no hay que escribirla en un papel y mucho menos guardarlo en la funda del teléfono.

El malware utilizado con el móvil de Bezos es tecnología punta que borra su propio rastro y aún así la empresa que lo ha investigado ha detectado el momento exacto en que el teléfono fue intervenido. En los intentos de hackeo más habituales hay signos que pueden llevar a sospechar que algo ha sucedido, como un cambio en el rendimiento del teléfono: si va más lento de lo habitual, la batería se agota antes o se calienta cuando no se está utilizando, puede ser porque está enviando información en segundo plano.

La misma opción se plantea si llegan SMS con información que el usuario no ha pedido o recibimos mucha publicidad. Si se sospecha que alguna persona en concreto puede haber instalado el malware «lo mejor es realizar una denuncia, sobre todo si alguien publica algo o envía mensajes en tu nombre».

Santos recomienda mantener siempre una buena higiene digital: «revisar si sigues necesitando todas las aplicaciones que tienes instaladas y los permisos que utiliza cada una de ellas. Ante cualquier duda de infección, lo mejor es realizar una copia de seguridad de los datos importantes a un dispositivo externo; quitar las aplicaciones que no necesitas y hacer una restauración a los datos de fábrica, porque así te aseguras de que se queda el móvil limpio y puedes volver a meter toda la información».

Aunque WhatsApp es la aplicación más utilizada con diferencia, los expertos suelen recomendar otros servicios de mensajería como los que ofrecen Telegram o Signal. Uno de los ejemplos que se suele poner para valorar otras opciones es que WhatsApp depende del móvil, de forma que este tiene que tener cobertura Wi-Fi o datos para poder usarlo desde la tablet o el ordenador. Además, ni Telegram ni Signal ceden las claves de cifrado; de hecho, es la razón por la que Telegram está prohibida en Irán y Rusia, países donde sí se puede usar WhatsApp.

Este servicio de mensajería está creciendo, aunque no tanto como para que WhatsApp se preocupe por la posible competencia. Los usuarios se conectan a los servidores directamente, por lo que solo se necesita el móvil para crear la cuenta en el servicio. Telegram tiene mejor acceso multiplataforma, envío de archivos, privacidad y estabilidad que WhatsApp. También da la opción de crear una cuenta con nombre de usuario, sin necesidad de utilizar el número de teléfono; y las conversaciones se pueden proteger utilizando un código de acceso o PIN.

Destaca su seguridad, ya que no almacena las claves de cifrado en los servidores, sino en los teléfonos del usuario, y le notifica si hay algún cambio. WhatsApp también tiene esta opción, aunque hay que activarla en Ajustes > Cuenta > Opciones > Seguridad. El famoso cifrado de WhatsApp fue desarrollado junto a Signal. Está muy orientada hacia la privacidad de las conversaciones, con claves para acceder a un chat y mensajes que se autodestruyen. No deja hacer pantallazos.

Está desarrollada por una empresa suiza, y en este país están los servidores. Guarda las conversaciones en el propio dispositivo. Entre las desventajas: que pocos la tienen instalada y que no se pueden sincronizar los datos en la nube. Es una aplicación de pago: cuesta 2,49€ en Google Play.