Una de las ventajas de WhatsApp (y otras aplicaciones de mensajería) frente a los SMS o los e-mails son sus famosos 'ticks azules', el símbolo que permite saber si cada mensaje enviado ha sido recibido y leído por el destinatario. Pero la misma tecnología que permite a WhatsApp ofrecer esta pequeña funcionalidad tan valorada por los usuarios también es la que ha generado un agujero de seguridad que facilita que la aplicación 'nos chive' la geolocalización del destinatario del mensaje. ¿Cómo es eso posible?
Un equipo de investigadores ha descubierto (PDF del paper académico) que es posible inferir la ubicación de otro usuario de WhatsApp con una precisión que puede llegar a superar el 80%. Y todo se basa en medir el tiempo que tarda el atacante (el emisor) en recibir la notificación de estado de entrega de un mensaje remitido al objetivo (el destinatario).
Así lo han logrado
Debido a que tanto las redes de Internet móvil como la infraestructura de los servidores de cada app de mensajería instantánea tienen características físicas específicas que dan como resultado patrones en el envío de mensajes, cada notificación tiene un retraso predecible que revela la posición del usuario.
Si, con antelación al ataque, se realiza una fase previa de mapeo, enviando mensajes a varias localizaciones ya conocidas, es posible calcular posteriormente una localización desconocida enviando mensajes al objetivo y midiendo el tiempo necesario para recibir las notificaciones de entrega.
Cuanto mayor sea el conjunto de datos recopilados durante la fase de mapeo, y si se envían suficientes mensajes al atacado (que no debe sospechar de nuestro intercambio de mensajes, pues de lo contrario nos bloquearía), es posible calcular con gran precisión su localización a lo largo del día. Esto podría tener consecuencias graves en la vida real, pues permite reconstruir la rutina del objetivo.
Por supuesto, este método requiere una gran precisión al calcular el plazo de tiempo entre envío y recepción, por lo que exige al atacante utilizar una aplicación de captura de paquetes (como Wireshark) para analizar su propio tráfico TCP y extraer información exacta de los plazos.
Curiosamente, la precisión que permite esta técnica era ligeramente mayor en aplicaciones que se venden como 'seguras' (Signal y Threema, con un 82% y un 80%, respectivamente, aunque Threema ya ha tomado medidas para solventarlo) que en WhatsApp (74%), pero en cualquier caso representa un riesgo potencial para cualquiera de los 2.000 millones de usuarios de esta última.
Un portavoz de WhatsApp nos remite las siguientes declaraciones, en las que descartan tomar medidas al respecto:
"Tras repasar esto con detalle, hemos determinado que usar este método para establecer la ubicación aproximada de alguien requeriría enviar tantos mensajes a un receptor que podría llevar al remitente a ser bloqueado y haría que este método no fuera práctico".
Tomando medidas
Una solución para evitar ser víctima de esta técnica de vigilancia radica, sencillamente, en que el usuario deshabilite la función de notificación, ocultando la recepción y lectura de los mensajes. Otra alternativa es que los desarrolladores de las aplicaciones implementen un sistema capaz de aleatorizar los tiempos de confirmación de entrega.
Por último, otra solución radicaría en instalar y activar una red privada virtual (VPN) en nuestro dispositivo móvil para aumentar la latencia y ofuscar los datos de ubicación. Si, además, la aplicación cambia intermitentemente entre servidores ubicados en distintos puntos, eso aumentaría la variabilidad en los tiempos de respuesta.
Imagen | Basada en original creada con Stable Diffusion
Ver todos los comentarios en https://www.genbeta.com
VER 11 Comentarios