Cómo espiar el WhatsApp de otros

Mucha gente me escribe para preguntarme cómo espiar el WhatsApp de otros. Evidentemente no tengo intención de ayudarlos, violar la intimidad de los demás es un delito castigado por la ley (además de una conducta deplorable), pero quiero aprovechar el interés que hay en torno a este tema para hacer un balance de la situación.

En concreto, me gustaría conocer contigo cuáles son las principales técnicas que utilizan los ciberdelincuentes para interceptar las conversaciones de WhatsApp y, sobre todo, qué contramedidas podemos poner en marcha para defendernos de sus ataques. Dado que la seguridad absoluta no existe, te aseguro que para dormir razonablemente tranquilo no necesitas ser un experto en seguridad informática: solo pon en práctica unas sencillas reglas de sentido común que espero que ya sigas. ¡Pero ya basta de charla! Vayamos directamente al corazón de este tutorial, si queremos llamarlo así, y veamos cómo mantener nuestras conversaciones alejadas de miradas indiscretas.

Advertencia: espiar las conversaciones de otras personas es un delito castigado por la ley. Esta guía ha sido redactada únicamente con fines ilustrativos, por lo que no asumo ninguna responsabilidad por el uso que haga de la información que contiene.

Olfateo de redes inalámbricas

Como te expliqué en mi tutorial sobre cómo olfatear una red inalámbrica, existen software, incluso gratuitos, que te permiten «capturar» todos los datos que transitan por una red Wi-Fi. Los ciberdelincuentes podrían utilizar esta técnica para capturar las conversaciones de WhatsApp, pero afortunadamente las últimas versiones de la aplicación han reducido, si no evitado por completo, este riesgo.

De hecho, a partir de noviembre de 2014, WhatsApp utiliza un sistema de seguridad llamado TextSecure que aplica cifrado de extremo a extremo (punto a punto) a los mensajes. En el cifrado de extremo a extremo, los mensajes se cifran y descifran mediante un par de claves: una pública que se comparte con su interlocutor y sirve para cifrar los mensajes salientes y una privada que reside solo en su teléfono móvil y descifra los mensajes en entrada. En otras palabras, esto significa que las comunicaciones viajan en los servidores de WhatsApp de forma encriptada y solo los remitentes y destinatarios legítimos pueden leer el contenido.

A la luz de lo anterior, cualquier intento de rastreo debería ser en vano, ya que los mensajes capturados serían completamente ilegibles, pero hay un par de variables peligrosas a tener en cuenta.

En primer lugar, WhatsApp es un software de código cerrado, por lo que no podemos examinar a fondo su código fuente y no podemos saber si el cifrado de extremo a extremo se aplica correctamente (podría desactivarse en algunas situaciones o en algunos países, tal vez a pedido). de los gobiernos locales). Luego, debe considerar el hecho de que WhatsApp está disponible para muchas plataformas de software y el cifrado de extremo a extremo aún no se ha activado en todas.

Una prueba realizada en abril de 2015 por un equipo de ciberseguridad alemán mostró que el cifrado de extremo a extremo solo funcionaba en conversaciones hacia y desde terminales Android, en otras plataformas de software se aplicó un sistema de cifrado basado en algoritmos RC4, que es notoriamente vulnerable y, por lo tanto, los ciberdelincuentes pueden descifrarlo más fácilmente. Ahora la situación debería estar más «tranquila», el desarrollador del sistema TextSecure ha dado a conocer que el cifrado de extremo a extremo llegará gradualmente a todas las plataformas, pero para ser justos no podemos decir que WhatsApp sea 100% invulnerable a los ataques de olfateo inalámbrico.

Cómo defenderse: Si el cifrado de un extremo a otro no se aplica o no se aplica de forma incorrecta, los usuarios no podemos hacer mucho. El único consejo sensato que puedo darte es que evites las redes inalámbricas públicas, que se sabe que son uno de los objetivos favoritos de los ciberdelincuentes. O deja de usar WhatsApp. Punto.

Robo de identidad en WhatsApp

Si el rastreo de redes inalámbricas está perdiendo gradualmente su eficacia (o eso es de esperar), hay otra técnica que le permite espiar el WhatsApp de otros con éxito. Me refiero al robo de identidad, que puede perpetrarse de diversas formas.

Web de WhatsApp

WhatsApp Web es un servicio en línea que le permite usar WhatsApp en su PC simplemente escaneando un código QR que aparece en la pantalla de su Pc. Solo funciona si el teléfono móvil en el que está instalado el cliente principal de WhatsApp está conectado a Internet, pero no requiere que los dos dispositivos estén conectados a la misma red inalámbrica y es capaz de almacenar la identidad del usuario.

Esto significa que un atacante podría robar su teléfono móvil, cualquier excusa, como la necesidad de hacer una llamada urgente, acceder a WhatsApp Web y mantenerse conectado a su cuenta marcando la casilla. Mantente conectado que permite al navegador almacenar la identidad del usuario (y por tanto acceder al servicio sin escanear el código QR por segunda vez).

Clonación de direcciones MAC

Otra técnica que podría permitir a los atacantes robar su identidad en WhatsApp es Clonación de direcciones MAC. La dirección MAC es un código de 12 dígitos que identifica de forma única a todos los dispositivos capaces de conectarse a Internet y WhatsApp lo utiliza, junto con el número de teléfono, para verificar la identidad del usuario.

Si alguien logra disfrazar la dirección MAC de su teléfono (hay aplicaciones como BusyBox es Dirección Mac fantasma para Android que te permiten hacerlo de forma bastante sencilla) y para que coincida con el de tu smartphone, puedes instalar WhatsApp, activarlo con tu número y acceder gratis a tus conversaciones.

Afortunadamente, se trata de una técnica bastante compleja: requiere mucho tiempo y cierto nivel de conocimientos informáticos, pero siempre es bueno estar al tanto de su existencia (para evitarlo).

Cómo defenderse: Todas las principales técnicas utilizadas por los ciberdelincuentes para robar la identidad de otros usuarios en WhatsApp requieren acceso físico al teléfono de la víctima. Esto significa que puede evitar el riesgo de que alguien acceda a su cuenta simplemente prestando atención a quién está usando el teléfono y aplicando reglas simples de sentido común. Tomemos algunos ejemplos de inmediato.

Establecer un PIN seguro – si alguien toma posesión de su teléfono móvil pero no puede acceder a su menú principal, no puede escanear el código QR de WhatsApp Web ni ver la dirección MAC del dispositivo (que se puede encontrar fácilmente en el menú Info de Android e iOS). La primera medida que puede tomar para eliminar a los «espías» es, por tanto, aplicar un PIN seguro a la pantalla de bloqueo.

  • En Android, para establecer un PIN, simplemente vaya al menú Configuración> Seguridad> Bloqueo de pantalla y seleccione el artículo ALFILER (o la voz Secuencia, si desea utilizar un gesto en lugar del PIN numérico).
  • En el iPhone tienes que ir al menú Configuración> Touch ID y contraseña, seleccione el artículo Cambiar codigo y configure su PIN.

Deshabilitar la visualización de SMS en la pantalla de bloqueo – durante la fase de activación de una copia clonada de WhatsApp, el atacante tendrá que usar su teléfono para recibir el código de confirmación de la aplicación. Si establece un PIN seguro y evita que los SMS se muestren en la pantalla de bloqueo, lo hace imposible.

  • Para deshabilitar la visualización de SMS en la pantalla de bloqueo de Android, debe ir al menú Configuración> Seguridad> Bloqueo de pantalla, establezca un PIN o un gesto y elija ocultar solo contenido sensible.
  • Para obtener el mismo resultado en iPhone, debe ir al menú Configuración> Notificaciones> Mensajes y desmarque la opción Mostrar en «Pantalla de bloqueo».

Consulta tus sesiones web de WhatsApp – si vas al menú Configuración> WhatsApp Web de su WhatsApp puede ver todas las sesiones Web de WhatsApp activas en la cuenta. Si encuentra algún «sospechoso» entre estos, entonces cree que alguien puede usar el servicio para acceder a sus conversaciones sin permiso, presione el botón Cerrar sesión en todas las Pcs y todas las Pcs conectadas a su cuenta de WhatsApp perderán el acceso (será necesario escanear el código QR nuevamente).

Aplicaciones espía

Otra amenaza de la que parece correcto advertirle es la relacionada con las aplicaciones espía; aplicaciones que una vez instaladas en el teléfono móvil le permiten rastrear todas las actividades del usuario, controlar el teléfono de forma remota y obtener capturas de pantalla de la pantalla del dispositivo.

Si lees mi post sobre aplicaciones para espiar teléfonos Android te darás cuenta de que incluso las aplicaciones que son muy fáciles de encontrar, como las de control parental o recuperación de teléfonos perdidos, se pueden configurar para espiar al usuario sin estas últimas. notarlo. Y esto puede suponer un gran peligro para la privacidad.

Cómo defenderse: La instalación de aplicaciones espía requiere acceso físico al teléfono móvil de la víctima, por lo que se aplican todos los consejos que le di antes. Además, si sospecha que alguien está rastreando sus actividades, intente acceder al menú con la lista de todas las aplicaciones instaladas en el teléfono móvil ( Configuración> Aplicaciones> Todas en Android y Configuración> General> Almacenamiento y uso de iCloud> Administrar almacenamiento en iPhone) y compruebe si hay algún icono «sospechoso». Si tiene éxito, seleccione las aplicaciones «sospechosas» y elimínelas una por una presionando el botón correspondiente.

Fácil, ¿verdad? Un poco demasiado diría… ¡y de hecho tengo que darte malas noticias! Muchas de las aplicaciones capaces de espiar el WhatsApp de otros ocultan automáticamente sus iconos de los menús de Android, iOS y Windows Phone. Esto significa que aún pueden estar presentes en su teléfono móvil incluso si no los ve en los menús que indiqué anteriormente.

En casos como estos, si le preocupa que alguien haya tomado el control de su teléfono, lo único que puede hacer es formatear el dispositivo y borrar todos los datos que contiene. Descubra cómo hacerlo en mis tutoriales sobre cómo restablecer el iPhone y cómo formatear Android.