A última hora del viernes pasado nos sorprendió la noticia de que Apple había decidido retirar WhatsApp de su App Store por cuestiones de seguridad, causas que la propia compañía declaró como falsas en un correo electrónico que recibimos horas después. Sin embargo se negaron a darnos los que, según ellos, son los verdaderos motivos de esta situación crítica, y casi tres días después la aplicación sigue fuera de combate.
En realidad, por mucho que sus responsables intenten taparlo de cualquier manera, el asunto de los fallos de seguridad en este servicio de mensajería viene de largo, y por ello no nos ha cogido de sorpresa la decisión de Cupertino. Dado el hermetismo de ambas partes, no podemos saber si esta reciente decisión se ha producido por los problemas ya conocidos, o por algo aún más gordo que se haya podido destapar.
¿Debe cundir el pánico? ¿Se está enterando todo el mundo de las chorradas que comento con mis colegas por WhatsApp? Antes de llegar a las conclusiones más drásticas, vamos a intentar entender un poco los agujeros de seguridad que ya han sido detectados en esta popular herramienta. Luego cada uno podrá actuar como estime conveniente en base a esta información.
Un largo historial de problemas por resolver
Tal y como revelaban el pasado mes de junio en Security by Default, la aplicación guardaba sin ningún tipo de cifrado la información sobre contactos, conversaciones y sesiones en bases de datos de fácil acceso, e incluso detalles sobre la localización si el GPS estaba activo. Parece que no les afectó mucho el aviso, porque principios de este mismo mes de enero aún se podía acceder fácilmente a cualquier conversación ajena sin mucho esfuerzo.
Pasaron los meses y siguieron surgiendo brechas en la estructura, las cuales permitían tomar por la fuerza la cuenta de otro usuario por diversas vías. Sobre algunas de éstas vulnerabilidades sí que ha habido declaración oficial desde el equipo de desarrollo para asegurar que habían sido subsanadas, pero otras parecían seguir activas tiempo después.
Del mismo modo, también a principios de este año veíamos cómo un exploit en la web del servicio permitía cambiar el estado de cualquier usuario, algo que nuevamente ha sido subsanado ya por la compañía. El problema no es tener grietas de seguridad, algo a lo que cualquier herramienta está expuesta, si no que veamos cómo algunas de ellas son atajadas y otras (particuarlmente preocupantes) siguen latentes con el paso de los meses.
¿Es seguro usar WhatsApp en este momento?
Conocedor como soy de todo lo antes expuesto, de lo que ha sido solucionado y de lo que aparentemente aún sigue sangrando, personalmente no he dejado de usar WhatsApp por el momento. Eso sí, mantengo como regla de oro que en mis conversaciones no se revele nada de información más personal de lo debido, ni ningún tipo de dato sensible, que pueda quedar guardado como texto plano para que cualquiera pueda leer en el futuro.
En medio de esta pequeña gran crisis, lo único que la compañía ha publicado en su blog oficial estos últimos tres días es información sobre un insulso hoax que lleva meses circulando. Pero de la situación en la App Store, a excepción de los emails poco amigables que hemos recibido los medios, poco más se ha sabido, demostrando una evidente incapacidad para gestionar la problemática de cara a su público.
Los más suspicaces han supuesto que puede tratarse de una medida por parte de Apple para fomentar el uso de iMessage entre sus clientes, algo contraproducente y que se cae por su propio peso si tenemos en cuenta que la compañía de la manzana también ingresa dinero (y no poco) con las ventas de WhatsApp. Además, ellos son los últimos interesados en generar alarma en torno a una de las aplicaciones estrellas de su sistema operativo, de cuya seguridad siempre han presumido.
Sospecho que la política de mutismo y negación por parte de los creadores de la aplicación se mantendrá cuando ésta recupere el visto bueno para aparecer en la App Store, por lo que posiblemente nunca sepamos qué fue la gota que colmó el vaso el pasado viernes. Y una vez más nos tocará esperar al trabajo de los investigadores anónimos para saber si cuestiones como la transferencia de información sensible sin codificar han sido solucionadas.
En Genbeta | Apple retira WhatsApp de su App Store por un problema de seguridad (actualizado), Vulnerabilidad en WhatsApp puede dejar parte de tus conversaciones al descubierto
Imagen | Eva Quirinius
Ver 16 comentarios
16 comentarios
spikybcn
Si es que.. esto con palomas no pasaba.
Oyagum
Yo sigo creyendo que es un pequeño empujón a su imessage, que si ganan pasta de whatsapp imagina si controlaran todo eso... creo que quieren eliminar intermediarios y quedarse con todo el pastel ya que últimamente parecen estar de bajón y solo hay que ver el lion que es como un vista o un milenium...
101729
El modelo del software cerrado y privativo está condenado...
Sobre todo de aplicaciones que se lanzan con tan pocas pruebas... Luego hay problemas. No puedes pretender programar una aplicación para las 4 mayores plataformas móviles (BB OS, Android, iOS y Symbian) y pretender que todo vaya como la seda...
En mi opinión, deberían haber hecho más pruebas con la aplicación...
Yo voy a seguir utilizando GTalk en cualquier caso, que no me ata a ninguna compañía, ni a mis amigos (puedo chatear a otros servidores XMPP, aparte de Gmail) y además tiene video chat, está encriptado, se integra con Google Contacts, y con Android... Es perfecto para mí.
Ah, y es gratis :)
Miguel Díaz
Editado
jayjayjay_92
Yo he leido en otros blogs no tiene nada que ver con el no encriptar nada (no es ninguna novedad) sino con una vulnerabilidad que afectaba específicamente al iphone y que permitía obtener datos privados del telefono.
Pero vamos ni presté demasiada atención ni me acuerdo bien...
Roberto Gutierrez
aunque sea una lata, la blackberry messenger estoy tranquilo y no lo pienso dos veces cuando voy a compartir información por el chat
manuelcr
De verdad, que la fijación que muestran algunos con WhatsApp es más que curiosa.
Lo de la base de datos me hace especial gracia, puesto que al menos en Android ninguna otra aplicación puede acceder a esa base de datos. Así que ser alarmistas en ese sentido me parece absurdo.
Tan solo lo del envío sin encriptar y que se pueda capturar en una WiFi pública me parece mínimamente importante. Pero vamos, que tampoco creo que la gente se dedique a dar su número de tarjeta de crédito y PIN por WhatsApp, es algo de sentido común y más en una WiFi Pública donde NUNCA hay que enviar información sensible.