Cómo espiar los mensajes de WhatsApp

¿Tienes miedo de que alguien pueda espiar tus conversaciones en WhatsApp? ¿Le gustaría algún consejo sobre cómo defenderse de este tipo de amenazas? Así que creo que ha venido al lugar correcto en el momento correcto.

Dadas también las numerosas solicitudes que recibí sobre el tema, hoy decidí cuidar la privacidad en WhatsApp: te contaré algunas de las principales técnicas que utilizan los atacantes para interceptar conversaciones en este servicio de mensajería tan popular y, lo más importante, tú Recomendaré algunas medidas preventivas que se deben tomar para evitar que alguien espíe en su cuenta. Entonces, ¿estás listo para empezar?

Te lo diré enseguida: por suerte espiar los mensajes de WhatsApp no es tan fácil como leemos (o al menos ya no lo es), pero ¡ay de bajar la guardia! Siempre debemos tener cuidado y seguir todas aquellas reglas de sentido común que nos permitan realizar nuestras actividades digitales de una manera razonablemente tranquila. Si quieres entender mejor a qué me refiero, sigue leyendo, encontrarás todo lo explicado a continuación. Comenzaremos a analizar todas las amenazas contra las que debemos estar en guardia y luego veremos, juntos, qué medidas tomar para evitarlas. ¡Disfruta la lectura!

Olfateo de redes inalámbricas

Una de las técnicas de espionaje más «populares» es la que implica el «rastreo» de redes inalámbricas con software como Wireshark (que también les hablé en mi tutorial sobre cómo olfatear una red inalámbrica). El término «sniffing» indica una actividad de monitoreo de redes inalámbricas que le permite capturar toda la información que viaja en claro en estas últimas.

En el caso de WhatsApp, un atacante podría utilizar el rastreo para monitorear la red a la que está conectado el teléfono móvil de la víctima, pero afortunadamente esta técnica ya no debería funcionar.

De hecho, a finales de 2014, los desarrolladores de Open Whisper Systems anunciaron una colaboración con WhatsApp que trajo su encriptado de fin a fin (llamado TextSecure) dentro de la famosa aplicación de mensajería.1

El cifrado de extremo a extremo (punto a punto) es una tecnología que le permite proteger la información del acceso no autorizado mediante un sistema de doble clave: una pública y otra privada. En el caso específico de WhatsApp, la clave pública se comparte con el interlocutor y permite cifrar los mensajes salientes. La clave privada, por otro lado, reside solo en el teléfono móvil de cada usuario y se usa para descifrar los mensajes entrantes.

Esto significa que los mensajes salen del teléfono del remitente y llegan al destinatario, a través de los servidores de WhatsApp, de forma cifrada. Los únicos capaces de descifrar los contenidos son los propietarios de las claves utilizadas para generarlos, es decir, los legítimos remitentes y destinatarios.

Entonces, ¿WhatsApp es inexpugnable? Bueno en realidad no. El cifrado de un extremo a otro potencialmente anula las técnicas de rastreo, pero desafortunadamente existen otras «armas» que los atacantes pueden utilizar. espiar los mensajes de WhatsApp.

Además, debemos tener en cuenta el hecho de que WhatsApp es un software de código cerrado, es decir, no es posible analizar en profundidad el código fuente, por lo que no podemos saber si la implementación del cifrado de extremo a extremo se ha realizado de manera artesanal. o menos.

Moraleja de la historia: la situación debe ser lo suficientemente tranquila, pero no debes bajar la guardia.

El robo de identidad

Uno de los mayores peligros para nuestras cuentas de WhatsApp lo representa actualmente el robo de identidad, es decir, desde el acceso no autorizado a nuestras conversaciones a través del «truco» de los sistemas de autenticación del servicio.

Robo de identidad a través de WhatsApp Web

Una de las formas más sencillas de robar la identidad de alguien en WhatsApp es aprovechar la función Mantente conectado de WhatsApp Web, el servicio que le permite enviar y recibir mensajes de WhatsApp en su PC utilizando su teléfono móvil como «puente».

También te lo conté en mi publicación sobre cómo usar WhatsApp en PC: para acceder a WhatsApp Web, simplemente enmarca el código QR que aparece en la pantalla de tu Pc con tu teléfono móvil. Después de eso, si deja la marca de verificación junto al elemento activo Mantente conectado, el servicio funciona sin necesidad de autenticación adicional. Basta con que el teléfono móvil en el que está instalado el cliente original esté conectado a Internet (no importa si está en la misma red Wi-Fi que el ordenador o en otras redes).

¿Qué significa esto? Que un atacante podría robar tu teléfono con cualquier excusa, enmarcar el código QR de WhatsApp Web en su Pc (o incluso en su tableta, usando el modo de vista de escritorio incluido en muchos navegadores) y acceder a tus mensajes sin ti darse cuenta.

Clonación de direcciones MAC

La clonación de direcciones MAC es otra técnica bastante refinada que los atacantes pueden usar para robar la identidad de un usuario en WhatsApp. Sigue siendo bastante eficaz pero su complejidad, y sobre todo el tiempo necesario para su implementación, hacen que no esté muy extendido.

La dirección MAC es un código de 12 dígitos que identifica de forma única todos los dispositivos capaces de conectarse a Internet. También es utilizado por WhatsApp para verificar la identidad del usuario, por lo que si está disfrazado para que parezca igual que el de otro teléfono se puede usar para acceder a las cuentas de otros.

Para «clonar» la dirección MAC de una persona, el atacante de turno debe instalar aplicaciones ad-hoc en su teléfono móvil (p. Ej. BusyBox es Dirección Mac Fantasma para Android, que requieren root). Luego debe hacerse con el teléfono móvil de la víctima, debe averiguar la dirección MAC (solo consulte la sección Info del menú de Android o iOS) y debe establecer el mismo código en su teléfono.

Cuando se completa la operación, el «espía» debe instalar una nueva copia de WhatsApp en su teléfono móvil, activarlo con el número de la víctima e ingresar el código de verificación que llega al teléfono de este último. Como se mencionó, esta es una operación bastante larga, no para todos, pero aún por conocer para evitar sorpresas desagradables.

Nota: sin la clonación previa de la dirección MAC, es prácticamente imposible activar WhatsApp con el número de otra persona. O mejor dicho, es posible pero totalmente inútil. El servicio, de hecho, le permite usar solo un teléfono móvil para cada número de teléfono y, por lo tanto, el propietario legítimo de la cuenta solo tendría que reactivar la aplicación en su dispositivo para «cortar las piernas» de cualquier espía (que, entre otras cosas, sería descubierto de inmediato de la víctima).

Aplicaciones espía

Otro peligro contra el que hay que estar en guardia son los llamados aplicaciones-espía, aplicaciones que se instalan directamente en los smartphones de las personas a las que se va a espiar y esconden su presencia.

Las aplicaciones de control parental o el software antirrobo también se pueden configurar para espiar al usuario y tomar capturas de pantalla del teléfono móvil. Te lo conté en detalle en mi tutorial sobre cómo espiar teléfonos Android.

Cómo defenderse

En este punto, seguramente se estará preguntando cómo protegerse de todas estas amenazas. Bueno, la seguridad absoluta no existe, pero si intentas poner en práctica todos los consejos que te voy a dar, deberías poder dormir bastante bien.

  • Utilice siempre la versión más actualizada de WhatsApp – Los desarrolladores de WhatsApp trabajan constantemente en la seguridad de su software. Si desea dormir relativamente tranquilo, abra la tienda de su teléfono móvil y asegúrese de que está utilizando la última versión de la aplicación.
  • Utilice un PIN seguro – Si un atacante roba su teléfono móvil pero no adivina el PIN para acceder a él, no puede hacer nada malo. Por lo tanto, es fundamental que tenga un código de desbloqueo en la pantalla de bloqueo y que este último sea lo suficientemente complejo (por lo tanto, difícil de adivinar).
    • Para configurar el PIN en Android, vaya al menú Impostazioni > Sicurezza > Blocco Schermo > PIN (o en Impostazioni > Sicurezza > Blocco Schermo > Sequenza si desea utilizar un gesto en lugar del código numérico).
    • Para configurar el PIN en el iPhone, vaya al menú Impostazioni > Touch ID e Codice > Cambia codice.
  • Deshabilitar la visualización de SMS en la pantalla de bloqueo – otra medida de seguridad que puede tomar es desactivar las notificaciones por SMS en la pantalla de bloqueo. De esta forma, si un atacante intenta activar WhatsApp con su número de teléfono y quiere ver el código de verificación del servicio, no podrá hacerlo.
    • Para deshabilitar los SMS en la pantalla de bloqueo de Android, vaya al menú Impostazioni > Sicurezza > Blocco Schermo > PIN, configure su PIN y elija nascondere solo i contenuti sensibili.
    • Para deshabilitar los SMS en la pantalla de bloqueo del iPhone, vaya al menú Impostazioni > Notifiche > Messaggi y desmarque la opción Mostra in "Blocco Schermo".
  • Consulta tus sesiones web de WhatsApp – como se mencionó anteriormente, alguien podría intentar robar su identidad usando WhatsApp Web. Para evitar este riesgo, vaya al menú Impostazioni > WhatsApp Web de WhatsApp y verifique todas las sesiones activas en su cuenta. Si hay alguna sospecha, presione el botón Disconnetti da tutti i computer y todos los posibles «espías» perderán la posibilidad de acceder a WhatsApp Web (ya que se les pedirá que vuelvan a escanear el código QR del servicio).
  • Evite las redes Wi-Fi públicas – incluso si el “rastreo” de redes inalámbricas ya no es tan efectivo como solía ser, es mejor evitar las redes públicas de Wi-Fi. Si puede, opte por la red 3G / LTE de su operador.
  • Escuche los consejos de la «madre» – si quieres evitar que alguien se meta en tus conversaciones Online, escucha el consejo de tu madre: no prestes tu teléfono a extraños, no dejes tu smartphone desatendido por mucho tiempo … ¡y no llegues tarde por la noche! 🙂

  1. Como muestran algunas pruebas independientes publicadas en línea, el cifrado de extremo a extremo se aplicó inicialmente solo a la versión de Android de WhatsApp. En las otras plataformas de software se utilizó un sistema de cifrado basado en el algoritmo RC4, que es notoriamente más vulnerable a los ataques. Ahora, sin embargo, la situación debería haber cambiado, el cifrado de extremo a extremo está llegando lentamente a todas las versiones de WhatsApp. ↩︎