Cómo comprobar WhatsApp

Todos los días, recibo mensajes de personas que están angustiadas por la idea de que un atacante pueda ingresar a sus cuentas de WhatsApp, revisarlas sigilosamente y espiar todas sus conversaciones. ¿Son estos temores infundados o existe realmente el riesgo de que alguien meta sus narices en nuestros mensajes? Intentemos averiguarlo juntos.

A continuación trataremos de analizar algunas de las principales técnicas que utilizan los ciberdelincuentes para espiar y comprobar WhatsApp a distancia y averiguaremos cuáles son los «contramovimientos» a implementar para evitar acabar en su punto de mira. Anticipo de inmediato que realmente existe algún riesgo, por otro lado ningún sistema informático es 100% impenetrable, pero no debemos ser paranoicos.

Adoptando reglas de sentido común y prestando atención a quienes utilizan nuestro smartphone, podemos poner «fuera de acción» todos los ataques contra WhatsApp sin contactar con profesionales del sector y sin instalar software especial. Pero ya basta de perder el tiempo, vayamos directo al corazón del tema y comencemos a analizar las técnicas que utilizan los ciberdelincuentes para espiar conversaciones en WhatsApp: algunas son realmente muy ingeniosas, además de peligrosas.

Robo de identidad en WhatsApp

Para espiar nuestros mensajes y comprobar WhatsApp sin nuestro permiso, los ciberdelincuentes deben poder disfrazar su identidad real. Tienen que fingir que lo somos, robando nuestra identidad en línea. Existen varias técnicas que pueden permitir que personas malintencionadas roben nuestras identidades en WhatsApp, intentemos analizar un par de ellas.

Web de WhatsApp

Web de WhatsApp es una función de WhatsApp que le permite acceder al servicio a través de una PC utilizando cualquier navegador habilitado, como Chrome, Firefox o Safari. Para usarlo, simplemente conéctese a su página principal, enmarque un código QR con la cámara del teléfono móvil y deje el teléfono conectado a Internet (a cualquier red, incluso la 3G / LTE de su operador está bien).

Bueno, si un atacante logra apoderarse de su teléfono móvil, lo usa para acceder a WhatsApp Web y en ese momento marca la casilla. Mantente conectado del servicio, que permite al navegador memorizar la identidad del usuario, puede obtener acceso continuo a su cuenta sin que usted se dé cuenta, o casi. Pero hablaremos de esto en breve …

Clonación de direcciones Mac

Otra técnica a través de la cual los ciberdelincuentes pueden cometer el robo de identidad en WhatsApp es la «clonación» de la aplicación camuflando la dirección MAC.

La dirección MAC es un código de 12 dígitos que se utiliza para identificar de forma única todos los dispositivos capaces de conectarse a Internet, como teléfonos móviles, tabletas, tarjetas de red para PC, etc. WhatsApp lo usa junto con el número de teléfono para identificar a sus usuarios, luego clonándolo, es decir, disfrazándolo para que parezca igual que el de otro usuario, es posible robar la identidad de otra persona y acceder a sus conversaciones.

Existen varias aplicaciones que le permiten cambiar la dirección MAC del teléfono móvil, como BusyBox es Dirección Mac fantasma en Android o SpoofMAC en iPhone. Usarlos no es complejo, solo necesitas rootear Android o hacer jailbreak al iPhone, pero lleva mucho tiempo.

Para llevar a cabo su «ataque», los ciberdelincuentes deben, de hecho, averiguar la dirección MAC del teléfono de la víctima (solo acceda al menú Configuración> Información de este último), configura el mismo código en tu dispositivo, instala una copia de WhatsApp y actívala utilizando el número de teléfono de la persona a la que se va a espiar (en el que se entregará el SMS con el código de activación de WhatsApp).

Afortunadamente para nosotros, este es un procedimiento muy complejo, requiere un acceso prolongado al teléfono de la víctima y una preparación técnica justa por parte de la persona que desea ponerlo en práctica, sin embargo no se debe subestimar su potencial efectividad.

¿Cómo defenderse?

En este punto surge una pregunta: cómo protegerse de quienes quieren robar nuestra identidad en WhatsApp ? Teniendo en cuenta que la mayoría de las técnicas implican el acceso físico al teléfono de la víctima (al menos inicialmente), para defenderse basta con poner en práctica unas sencillas reglas de sentido común.

  • No preste su teléfono móvil a extraños y no lo deje desatendido en lugares públicos.
  • Establezca un PIN seguro para bloquear el acceso no autorizado al teléfono. En Android solo ve al menú Configuración> Seguridad> Bloqueo de pantalla y seleccione el artículo ALFILER (o Secuencia, si prefiere usar un gesto en lugar del PIN numérico), mientras que en el iPhone simplemente vaya al menú Configuración> Touch ID y contraseña y seleccione el artículo Cambiar codigo.
  • Evita la visualización de SMS en la pantalla de bloqueo. Esta operación, asociada al uso de un PIN seguro, evita el riesgo de que un atacante pueda activar una copia clonada de WhatsApp usando su número de teléfono (ya que no podrá ver el código de confirmación que le será entregado vía SMS a su dispositivo. ). Si tiene un teléfono móvil Android, debe ir al menú para deshabilitar la visualización de SMS en la pantalla de bloqueo Configuración> Seguridad> Bloqueo de pantalla, establezca un PIN o un gesto y elija ocultar solo contenido sensible. Si tienes un iPhone tienes que ir al menú Configuración> Notificaciones> Mensajes y desmarque el elemento Mostrar en «Pantalla de bloqueo «.
  • Monitoree las sesiones web de WhatsApp: dijimos anteriormente que si alguien accede a la web de WhatsApp con su teléfono móvil, no podrá darse cuenta. Esto es cierto, pero solo parcialmente. Yendo al menú Configuración> WhatsApp Web de WhatsApp puede ver todas las sesiones web de WhatsApp activas en su cuenta y presionando el botón Cerrar sesión en todas las Pcs puedes desactivarlos instantáneamente. De esta forma, todos los «espías» conectados a su cuenta a través de WhatsApp Web perderán el acceso automático al servicio.

Aplicaciones espía

En la actualidad existen muchas aplicaciones para espiar teléfonos móviles. Algunos de ellos son muy caros y muy difíciles de usar, mientras que otros son mucho más accesibles y se pueden configurar incluso con conocimientos informáticos limitados. Basta pensar en las soluciones para el control parental o la localización de dispositivos perdidos, que se encuentran fácilmente en las tiendas oficiales de Apple y Google, en algunos casos son gratuitas, pero si se configuran correctamente también te permiten espiar y controlar un smartphone a distancia.

Pero como sabemos si alguien quiere comprobar WhatsApp de forma remota con una de estas aplicaciones? Desafortunadamente, no es fácil ya que la mayoría de las aplicaciones espías se ocultan automáticamente de todos los menús del sistema, pero intentarlo no está de más.

Por tanto, la primera sugerencia que te doy es que entres en el panel de gestión de aplicaciones de tu smartphone ( Configuración> Aplicaciones> Todo en Android y Configuración> General> Almacenamiento y uso de iCloud> Administrar almacenamiento en iPhone) y compruebe si hay nombres «sospechosos».

En caso de resultado negativo, si sospecha la presencia de aplicaciones espías en su dispositivo, lo siento pero la única solución que queda a su disposición es formatear la memoria del teléfono. Descubra cómo hacerlo en mis tutoriales sobre cómo restablecer Android y cómo restablecer iPhone.

Olfateo de redes inalámbricas

En conclusión, me gustaría hablarles sobre el riesgo de rastreo inalámbrico, que no permite que personas malintencionadas comprobar WhatsApp directamente, pero puede permitirles leer sus mensajes.

Como también te expliqué en mi publicación sobre cómo olfatear una red inalámbrica, existen software que te permiten monitorear las redes inalámbricas y «capturar» todos los datos que viajan en ellas. Entre estos también podrían estar los mensajes de WhatsApp, pero afortunadamente existen medidas de protección que son aplicadas automáticamente por el servicio y que deberían mantenernos razonablemente seguros.

Me refiero al encriptado de fin a fin que WhatsApp empezó a adoptar a finales de 2014, que protege los mensajes mediante un sistema de doble clave: una pública que se comparte con su interlocutor y sirve para cifrar las comunicaciones salientes y una privada que reside en nuestro smartphone y nos permite descifrar las comunicaciones entrantes. Dicha tecnología asegura que los mensajes también lleguen encriptados a los servidores de WhatsApp y solo puedan ser desencriptados por remitentes y destinatarios legítimos, sin embargo no podemos dormir completamente en paz.

¿Por qué? Debido a que WhatsApp es una aplicación de código cerrado, no podemos analizar completamente su código fuente y, por lo tanto, no sabemos si el cifrado de extremo a extremo se ha implementado correctamente en el servicio. Una prueba que data de abril de 2015, por ejemplo, mostró que solo los mensajes enviados hacia y desde Android estaban encriptados con el sistema de extremo a extremo, en las otras plataformas se utilizó un sistema de encriptación basado en el algoritmo RC4 que es mucho más vulnerable a ataques externos.

¿Moraleja de la historia? Necesitamos confiar en WhatsApp y sus sistemas de protección, o podemos migrar a otras aplicaciones de mensajería de código abierto que aplican cifrado de extremo a extremo de forma transparente. Cada uno tiene su propia elección. En ambos casos es recomendable evitar las redes públicas de Wi-Fi que, como sabemos, son un coto de caza muy popular para los ciberdelincuentes.