Cómo espiar WhatsApp desde PC

Que tan confiable es Whatsapp ? ¿Los mensajes que intercambiamos todos los días en esta plataforma son seguros o alguien podría leerlos sin nuestro permiso? Haces bien en hacerte estas preguntas, ya que tu privacidad también pasa por aquí. Si quieres una respuesta rápida: sí, lamentablemente existen técnicas para espiar WhatsApp. El secreto de nuestros datos está lejos de estar asegurado y algunos estudios1 destacó cómo los números de teléfono, las direcciones IP y otros datos relacionados con las llamadas VoIP se almacenan en los servidores del servicio.

Sin embargo, no debemos ser paranoicos: en comparación con hace un tiempo, WhatsApp es mucho más seguro, los mensajes están encriptados con una tecnología muy eficiente (llamada TextSecure) y es poco probable que una persona con conocimientos informáticos no muy altos sea capaz de «perforar Solo sus sistemas. Quedan algunas dudas sobre la naturaleza de código cerrado de la aplicación (al no poder examinar a fondo su código fuente no podemos saber si los mensajes están encriptados correctamente) y luego están los riesgos derivados de la falta de prudencia de los usuarios, pero eso no es un problema que solo afecta a WhatsApp.

Solo una pequeña recomendación antes de comenzar. En los próximos párrafos me referiré a algunas técnicas de piratería utilizadas para espiar WhatsApp desde PC. La información contenida en este tutorial, sin embargo, fue redactada solo con fines ilustrativos: no me responsabilizo del uso que haga de ella. Te recomiendo: no lo uses para intentar espiar a otras personas (ni siquiera a tu familia o amigos), porque esto representaría una grave violación a la privacidad y, por tanto, un delito punible por la ley. Dicho esto, ¡te deseo una feliz lectura!

  • Espiar WhatsApp desde una PC «olfateando» redes inalámbricas
  • Espiar WhatsApp desde PC a través de WhatsApp Web
  • Espiar WhatsApp desde PC con aplicaciones espía

Espiar WhasApp desde redes inalámbricas de «rastreo» de PC

Como mencioné en la introducción, WhatsApp utiliza una tecnología de encriptado de fin a fin (es decir, de un punto a otro) llamar TextSecure 2 donde las claves generadas automáticamente por la aplicación garantizan el secreto de las conversaciones. En pocas palabras, los mensajes llegan a los teléfonos móviles y servidores de servicios de los usuarios en forma cifrada y solo los remitentes / destinatarios legítimos pueden ver su contenido. Sin embargo, esto no deja completamente fuera de combate a los ciberdelincuentes.

Como se mencionó anteriormente, WhatsApp es una aplicación fuente cerrada y por lo tanto no podemos examinar a fondo su código fuente. Al no poder realizar una operación de este tipo, no podemos saber si el cifrado de extremo a extremo se aplica correctamente o si, por ejemplo, está desactivado en algunos países a pedido específico de los gobiernos locales.

En abril de 2015, los investigadores de Heise utilizaron el software Wireshark para «Olfatear» las comunicaciones de WhatsApp y descubrió que solo la versión de Android de la aplicación usaba cifrado de extremo a extremo. Otras versiones de la aplicación usaban cifrado basado en el protocolo RC4, que solo funciona al salir y es notoriamente vulnerable a los ataques de los ciberdelincuentes.

Tras la publicación del estudio, los desarrolladores de TextSecure dieron a conocer que la adopción del cifrado de extremo a extremo por WhatsApp se llevaría a cabo de forma gradual.3, por lo que no en todas las plataformas al mismo tiempo, sino poco a poco. Esto significa que si bien las comunicaciones Android> Android estaban 100% protegidas (o eso parecía), las comunicaciones desde y hacia iOS, Windows 10 Mobile, etc. aún podrían estar sujetos a intercepciones fáciles.

En la actualidad, se ha implementado el cifrado de extremo a extremo en todas las plataformas para las que está disponible la aplicación de mensajería pero, como no es posible acceder al código fuente de WhatsApp, no podemos saber si el uso de este tipo de cifrado se ha aplicado a la perfección y, por lo tanto, no podemos estar absolutamente seguros de que sea imposible interceptar los mensajes de los usuarios con Wireshark u otro software para rastrear redes inalámbricas.

Las únicas precauciones que los usuarios podemos poner en práctica para protegernos son no se conecte a redes inalámbricas públicas que, como se sabe, son el coto de caza favorito de los «olfateadores», y utilizan los servicios de VPN, Por ejemplo NordVPN (de la que te he hablado en profundidad aquí) y Surfshark, que encripta todos los datos de conexión y oculta la posición geográfica del usuario, protegiéndolo de cualquier seguimiento.

Espiar WhatsApp desde PC a través de WhatsApp Web

El rastreo inalámbrico ha sido potencialmente eliminado por el cifrado de extremo a extremo pero, lamentablemente, hay otras formas de espiar WhatsApp desde PC. Uno de estos tiene que ver con el robo de identidad a través de WhatsApp Web, el servicio oficial de WhatsApp que te permite enviar y recibir mensajes desde tu PC. También te lo dije en mi tutorial sobre WhatsApp para PC, ¿recuerdas?

WhatsApp Web funciona utilizando el teléfono móvil como «puente», por lo que solo se puede utilizar si el teléfono móvil en el que está instalada la aplicación está encendido y conectado a Internet, sin embargo tiene dos características que lo hacen particularmente atractivo para personas malintencionadas: es capaz de para memorizar la identidad del usuario (solo marque la casilla Mantente conectado después de iniciar sesión por primera vez) y funciona independientemente de la conexión utilizada en el teléfono móvil (el teléfono también puede estar lejos de la Pc y el servicio es igualmente accesible). Sin embargo, hay que reconocer que realizar acciones de espionaje a través de WhatsApp Web se ha vuelto (afortunadamente) mucho más complejo, ya que el servicio envía notificaciones en cada acceso.

El hecho es que un atacante podría potencialmente robar su teléfono móvil, usarlo para acceder a WhatsApp Web en su Pc (o tableta) y obtener acceso gratuito a sus conversaciones. Para prevenir este riesgo, no prestes tu teléfono a extraños, no deje el dispositivo desatendido y revisa el Sesiones web de WhatsApp activo en su cuenta.

Si no sabe cómo verificar las sesiones web activas de WhatsApp, abra WhatsApp y vaya al menú Configuración> WhatsApp Web / Escritorio. Se le mostrará una lista de todos los navegadores desde los que puede acceder a sus mensajes, completa con los últimos accesos. En caso de que note alguna actividad sospechosa, presione el botón Desconectarse de todas las Pcs / Desconectarse de todos los dispositivos y todas las Pcs asociadas con su cuenta de WhatsApp perderán el acceso.

Espiar WhatsApp desde PC con aplicaciones espía

Otro peligro contra el que debe estar en guardia son los llamados aplicaciones-espía, es decir, aplicaciones que son capaces de monitorizar todas las actividades realizadas en el smartphone, localizar geográficamente el dispositivo y capturar instantáneas de su pantalla, como la muy famosa iKeyMonitor Te lo dije en otro post. Esta información luego se envía de forma remota a los atacantes y / o se puede ver a través de un panel web cuyos detalles de inicio de sesión son conocidos solo por aquellos que han instalado la aplicación en el teléfono. Para este propósito, las aplicaciones de control parental (como Qustodio o Valla móvil, de la que te hablé en esta guía)

¿Cómo puede evitar que alguien instale aplicaciones espías en su teléfono móvil y controle sus conversaciones en WhatsApp a través de ellas? Para empezar, no preste su teléfono móvil a personas en las que no confía. En segundo lugar, no desbloquee su dispositivo mediante procedimientos como el raíz o el fuga, porque lo harían particularmente vulnerable. Otro aspecto importante es proteger su dispositivo con un código de desbloqueo seguro y difícil de adivinar. Si no sabe cómo configurar una contraseña, siga estos pasos.

  • Android – ir al menú Configuración> Seguridad> Bloqueo de pantalla y seleccione el artículo ALFILER desde la pantalla que se abre.
  • iPhone – ir al menú Configuración> Touch ID y contraseña (o Face ID y código ) y seleccione el elemento Cambiar codigo. Si su «iPhone por» admite el desbloqueo a través del sensor de huellas dactilares o el reconocimiento facial, prefiera este último.

También te aconsejo que revises las aplicaciones instaladas en el dispositivo, para verificar que no haya aplicaciones «sospechosas». Para hacer esto, vaya a Configuración> Aplicaciones> Todas (en Android) o en Configuración> General> Espacio libre de iPhone (en iPhone) y verifique qué aplicaciones están instaladas.

Sin embargo, debe reconocerse que muchas aplicaciones de espionaje pueden ocultarse y no se muestran en los menús del dispositivo y para encontrarlas es necesario usar códigos especiales (como le expliqué en mi guía sobre cómo encontrar aplicaciones de espionaje). ¿Cómo puedes usar estos códigos? Te lo explicaré enseguida.

  • Iniciar el navegador de su teléfono móvil e intente conectarse a las direcciones localhost: 4444 o localhost: 8888, utilizado por muchas aplicaciones espía para ocultar su panel de configuración.
  • Iniciar el marcador, la pantalla desde la que ingresa los números de teléfono e ingresa el código * 1 2 3 4 5, para acceder al panel de configuración de una aplicación-espía posiblemente instalada en el teléfono.
  • Si tienes un dispositivo Android enviado a root, te recomiendo que arranque Superusuario / SuperSU y compruebe si hay aplicaciones espías entre las que han obtenido permisos de root. Si encuentra alguno, revoque inmediatamente los permisos en cuestión.

Si de tus «investigaciones» encuentras que alguien realmente está monitoreando tus actividades, te sugiero que formatees tu dispositivo y borres todos los datos que contiene, como expliqué en las guías sobre cómo reiniciar Android y cómo reiniciar iPhone.


  1. Análisis forense de la red de WhatsApp: descifrar y comprender los mensajes de señalización de llamadas de WhatsApp (en inglés). ↩
  2. Haga clic aquí para conocer todos los detalles técnicos sobre cómo funciona el cifrado TextSecure (en inglés). ↩
  3. Aquí está la respuesta de los desarrolladores de TextSecure a la prueba realizada por Heise (en inglés). ↩