Hace poco tiempo vimos cómo WhatsApp daba pasos hacia adelante en su seguridad lanzando una nueva versión de su aplicación oficial con encriptación incluida. Antes de la actualización los mensajes se enviaban completamente al descubierto, sin ningún tipo de codificación, lo que representaba una fortísima amenaza para nuestra seguridad. Ahora llegan más malas noticias para esta plataforma de mensajería, ya que al parecer la seguridad de esa encriptación de los mensajes no es lo suficientemente buena.
Dicha seguridad varía si usamos WhatsApp en Android o en iOS. El cifrado de nuestras credenciales en Android se reduce a un simple hash MD5 del número IMEI del móvil puesto del revés, algo que se puede conseguir muy fácilmente. En el caso de iOS el cifrado se obtiene haciendo el mismo hash MD5 de la dirección MAC del terminal repetida dos veces. Para los que no lo sepan: un hash MD5 de un archivo genera un código alfanumérico que sirve para identificar o confirmar la integridad de dicho archivo.
Datos como el IMEI o la dirección MAC de un teléfono móvil son demasiado fáciles de obtener, incluso para una persona que no tenga conocimientos avanzados de hacking. Un par de búsquedas en Google pueden proporcionarte las aplicaciones necesarias para obtener estos datos. Y eso no es todo: cuando WhatsApp revisa nuestra agenda de teléfonos móviles los datos siguen enviándose en un documento XML que muestra información de un usuario como su número, su estado o su cuenta de Jabber si consta en la agenda.
En la fuente sacan una conclusión bastante clara: “No uses WhatsApp. En serio, no lo uses”. Eso no es nada fácil de conseguir si tenemos amigos y familiares acostumbrados al protocolo, así que sólo me queda recomendar que tengáis especial prudencia con WhatsApp, sobretodo si estáis en una red Wifi pública; y esperar que los desarrolladores apliquen una encriptación mucho más adecuada.
Vía | Fileperms
En Genbeta | Cuidado con las aplicaciones de WhatsApp para Facebook: son todas falsas
Ver 32 comentarios
32 comentarios
fenixtx
Por favor, menos meter en criptas y más usar el término cifrado, que hace daño a la vista.
darkyevon
Me sorprende que con la cantidad de dinero que tiene esta gente no hagan una encriptacion en condiciones. Aunque viendo lo mal programada que está la aplicación, lo que tarda en iniciarse y lo lento que hace scroll, ya dice mucho sobre quien la ha hecho. Cualquier estudiante de ingeniería de segundo o tercero te haría una aplicación mas ágil y mas segura. Sin esas barbaridades e insulto de optimización y seguridad. Hablo de la versión de android claro.
julian1984
Y seguimos con las criptas... ¿Hay que vestirse de negro? Eso sí, el comentario #8 ya lo borda usando la palabra "indesencriptable"
Indesencriptable <> Indescifrable
jush 🍑
La gente de Whatsapp son unos mancos. Su aplicación tiene una UI obsoleta, cometen errores como darle preferencia a la foto de perfil sobre la de la agenda, han estado años sin cifrar los mensajes y cuando lo hacen lo hacen mal, no tiene aplicación para tablet o escritorio...
Se merecen dejar de ser la aplicación de referencia, de verdad.
POC
Menuda campaña de desprestigio al whatsapp que hay ultimamente... Me aburro
Miguel Díaz
Entre que Whatsapp mete en una cripta y que esto ya salió la luz hace una o dos o mas semanas...
pistolero.
La verdad es que cada vez que se habla de esta aplicación no suele salir airosa de críticas por la seguridad de sus mensajes, pero también es cierto que se le hace mucho más seguimiento que a las demás apps de la competencia. Existen algún análisis a fondo de la seguridad que tiene Groupme, Viber o similares?? (Y lo pregunto desde el total desconocimiento) Porque quizás se esté atacando a Whatsapp sin haber conocido en profundidad las apps que ahora se toman como secundarias.
Ricardo
Esto del débil cifrado de WhatsApp se sabe desde hace semanas, muchos blogs y foros sobre seguridad ya tenían extensos tutoriales para que peña volviera a espiar los mensajes de novias, amantes y hermanas
pedro-xitrus
"Para los que no lo sepan: un hash MD5 de un archivo genera un código alfanumérico que sirve para identificar o confirmar la integridad de dicho archivo."
La integridad del archivo se suele ver en las distintas capas que conforma internet, con el campo que por lo menos a mi me han enseñado que se llama "trailer", que se encarga de verificar que llegue entero el paquete, la trama o la PDU de la respectiva capa.
Y según Wikipedia MD5 es: "un algoritmo de reducción criptográfico de 128 bits", resumiendo que se encarga de encriptar la información mandada. Y hay que especificar que es un hash, que es un sistema (que se puede implementar de distintas formas) que crea códigos encriptados que no sigue ningún patrón de desencriptación y lo hace teóricamente indesencriptable.
lycan
No uses whatsapp porque su encriptacion no es acorde con la alta seguridad nacional!!.... Pues vale, pero creo que muchos solo enviamos chorradas por whatsapp, y el que no lo haga..... deberia tener en cuenta que lo escrito escrito queda y que hay personas que son o pueden llegar a ser infinitamente malas, y no me refiero a los hackers.
albertopinoblanco
encriptar encriptar encriptar encriptado
mamacis
Seguro que los 'hackers' les interesa un montón saber dónde y a qué hora quedo con mis amigos...
Jerichocr
Utilizo una aplicación llamada Lync 2010 es la única que recomienda mi empresa para comunicarse con seguridad. Supongo que el enfoque más casual de WhatsApp genera que no se preocupen por una encriptacion más seria.
Espero empresas más serias que WhatsApp desarrollen aplicaciones mejores e inviertan en popularizarlas. En el caso de Apple que solo desarrolla iMesenger para iOS no es una solución, tal vez Microsoft o Google puedan hacer algo. De Samsung no espero nada a ellos el software no se les da muy bien.