Durante mucho tiempo tanto usuarios como expertos en seguridad han criticado la famosa aplicación de mensajería WhatsApp, por la forma en que la compañía trataba internamente las conversaciones de los usuarios. Mientras que otros servicios contaban con encriptación y diversas medidas de seguridad, cada vez eran más evidentes sus fallos de seguridad.

Sin embargo, el mes pasado la compañía decidió incluir finalmente un sistema de cifrado de mensajes de extremo a extremo, una novedad que se comunicó a los usuarios mediante avisos en cada una de las conversaciones y grupos que mantuviesen activos. El problema es que WhatsApp no proteje todos los datos mediante este sistema, y aun así, ahora unos investigadores aseguran que incluso el cifrado en inútil en este tipo de aplicaciones.

Investigadores de seguridad de la empresa Positive Technologies han descubierto que es posible interceptar cualquier mensaje como si ellos fuesen partícipes de la propia conversación, en servicios de mensajería instantánea como WhatsApp o Telegram. Al parecer, el problema estaría relacionado con los protocolos de los mensajes móviles.

En realidad no se trata de un ataque externo a estos servicios, ya que básicamente un ciberdelincuente puede suplantar la identidad de la víctima de cara al servicio. De este modo, las medidas de seguridad como el cifrado de extremo a extremo adoptadas por WhatsApp y el resto de servicios de mensajería se vuelven inútiles.

Estos son los datos que Whatsapp no protege con el cifrado

Según comenta Alex Mathew, de Positive Technologies, todas las aplicaciones similares a WhatsApp y Telegram utilizan la verificación por SMS basada en mensajes de texto que utilizan el protocolo Signalling System 7 (SS7) para comprobar la identidad del usuario. Hasta que no introducimos el código recibido no podemos iniciar sesión en un nuevo dispositivo.

De hecho, Mathew va más allá y recuerda que la autenticación por SMS es parte de los mecanismos de seguridad de WhatsApp, Telegram, Viber y Facebook, pero también de la verificación en dos pasos de cuentas como Google o Microsoft. Un ciberdelincuente puede fácilmente interceptar estos mensajes por la red SS7 y asumir la identidad del usuario iniciando sesión y suplantando su identidad.

Una vez hecho esto, el atacante pasa a tener control total sobre el servicio, sea cual sea, siendo posible leer y escribir mensajes sin ningún impedimento. Además, si el historial de conversaciones estuviese almacenado en el servidor, también podría recuperar todas las conversaciones fácilmente, ya que en esencia el atacante se hace pasar por el usuario legítimo.

¿Qué es...la verificación en dos pasos?

Lo preocupante es que no se necesita ningún equipo sofisticado, y tanto agencias de inteligencia como el FBI o la CIA, como personas con un cierto conocimiento de la materia, pueden hacerlo. En Positive Technologies utilizaron un ordenador con Linux como sistema operativo, y un SDK público para generar paquetes SS7 con el objetivo de demostrar su afirmación.

El protocolo SS7 fue desarrollado en 1970 y desde entonces no ha sido mejorado ni revisado, especialmente después de que los sistemas se volviesen accesibles a través de Internet. Quizás sería hora de revisar las vulnerabilidades del SS7 a fin de garantizar la seguridad de los usuarios, o dejar de utilizar los mensajes SMS como parte del proceso de autenticación.

[Fuente: PTSecurity]