Aunque es una vulnerabilidad de diseño de la cual se tiene constancia y conocimiento desde hace al menos un año, WhatsApp Messenger continúa transmitiendo en texto plano todos los mensajes que son enviados. Con la reciente aparición de WhatsApp Sniffer para Android, herramienta que permite obtener todos los mensajes enviados por los usuarios de WhatsApp que se encuentren conectados a un mismo Wi-Fi, se ha vuelto indispensable que el usuario comprenda ciertos conceptos, conozca algunos casos similares, y sepa minimizar los riesgos asociados al uso de redes públicas para acceder a programas o servicios que utilizan información sensible, y que finalmente no la transmiten de forma cifrada hacia su destino.
El cifrado es un método de protección que consiste en proteger información para que no sea legible, o al menos resulte más difícil de hacerlo, por parte de personas no autorizadas. De este modo, si un atacante intenta acceder a esos datos y no posee la clave de acceso, le será imposible visualizar esa información.
Este caso no es el primero en donde el objetivo es leer información mediante la técnica de sniffing o análisis de tráfico de red. En 2010 se dio a conocer Firesheep, una extensión para el navegador Mozilla Firefox que permitía obtener los usuarios y contraseñas de personas conectadas a una misma conexión Wi-Fi y que intentaran iniciar sesión en servicios como Facebook, Twitter y Google. Afortunadamente, esas empresas implementaron un método de cifrado para manejar de forma segura las credenciales de acceso de los usuarios. Al respecto recomendamos la lectura de nuestro post sobre cómo activar HTTPS en Facebook y Twitter.
Luego, fue el turno de FaceNiff, aplicación para Android que cumplía una función similar pero que además afectaba a Amazon y Youtube. Hay que destacar que en los tres casos, el único requisito para que algún individuo malintencionado pueda obtener la información sin cifrar es, o instalar una aplicación diseñadas para smartphones cuyo sistema operativo Android esté desbloqueado, es decir, que se haya sometido a un proceso denominado rooting; o se instale una extensión para un navegador como Firefox. Una vez que se dispone de esas herramientas, lo único que necesita el atacante es conectarse a una red Wi-Fi en donde existan otros usuarios transmitiendo o iniciando sesión en los mencionados servicios. El problema se agrava aún más si a la simplicidad en el uso de estas herramientas consideramos que en este caso, una red inalámbrica protegida por contraseña y cifrada mediante algún protocolo de seguridad como WEP, WPA o WPA2 no ayuda a aminorar el problema. Si bien una red inalámbrica que implemente un mecanismo de protección es considerablemente más segura que un W-Fi desprotegido, si el atacante logra vulnerar ese método de autenticación, o si por ejemplo va a un restaurante y obtiene acceso a dicha clave, podrá realizar sin problemas un análisis de tráfico que le permita sustraer toda la información sensible sin cifrar de las víctimas.
Algo parecido ocurre con algunas aplicaciones para plataformas móviles como iOS o Android en donde determinados programas almacenan información sensible en texto plano. En este caso específico dichos datos no son transmitidos por Internet, pero sí facilita que alguien diseñe un código malicioso que cumpla dicho objetivo.
Pese a que la solución para estos casos es que los desarrolladores cuenten con algún mecanismo de cifrado, es necesario que los usuarios eviten el uso de esta aplicación en cualquier red Wi-Fi pública mientras WhatsApp no implemente un sistema de cifrado para la información transmitida.
André Goujon
Especialista de Awareness & Research