Desde que se lanzó en 2009, WhatsApp ha alcanzado los 500 millones de usuarios en todo el mundo (en España su penetración es superior al 80%, y sus usuarios comparten más de 50.000 millones de mensajes, 700 millones de fotos y más de 100 millones de vídeos a diario; más los mensajes de voz desde agosto de 2013.
El éxito de la aplicación, sin embargo, la ha situado en el punto de mira de los ciberatacantes. Las numerosas vulnerabilidades encontradas la han situado como blanco perfecto para la distribución de malware y robo de datos personales. Esta situación se ha visto agravada por la escasa percepción de riesgos entre los usuarios de dispositivos móviles que apenas si toman precauciones para proteger su información.
Las críticas por la pésima gestión de la seguridad se vieron incrementadas en febrero de este año tras anunciarse que Facebook compraba la compañía por 19.000 millones de dólares. El miedo estriba en el cruce de datos de Facebook con los de los usuarios de WhatsApp en donde se puede acceder a números de teléfono y todos sus contactos, localizaciones GPS, fotografías, vídeos, audios, tarjetas de contacto, gustos, preferencias, etc.
Principales vulnerabilidades
Desde sus inicios se han ido descubriendo fallos de seguridad, empezando por la falta de cifrado de sus comunicaciones y, por tanto, el acceso a la agenda telefónica y a los mensajes de los usuarios conectados a Internet. Esta situación fue subsanada (aunque con un cifrado es fácil de romper). También persisten las vulnerabilidades en la ubicación del usuario a través del GPS, puesto que WhatsApp almacena las coordenadas geográficas y las mantiene desprotegidas.
Juan Garrido, consultor de InnoTec System, descubrió otra vulnerabilidad en marzo de 2013. Cualquier usuario, de forma anónima, podía utilizar la infraestructura de WhatsApp para subir todo tipo de archivos o ficheros de cualquier tamaño a sus servidores. Dado que, además, la plataforma de WhatsApp no cuenta con ningún tipo de antivirus y que los contenidos se borran automáticamente en un período de 30 días, las facilidades para distribuir todo tipo de malware o realizar ataques de phishing son sencillas y sin ningún tipo de costes para el atacante.
Condiciones de uso y privacidad
– La compañía pueda acceder periódicamente a la lista de contactos y/o libreta de direcciones para mantener un registro de los números de teléfono de otros usuarios (es decir, no existe un consentimiento por parte de los contactos).
– Los datos denominados ‘Status Submission’ (estados, fotos de perfil, información sobre si se está conectado o información sobre la última conexión) tienen una licencia no exclusiva, gratuita y transferible para usarlas, reproducirlas, distribuirlas, crear obras derivadas a partir de ellas, exhibirlas o comunicarlas.
– Sólo puede ser usado por mayores de 16 años (o menores con autorización paterna específica)
– Las condiciones pueden modificarse en cualquier momento, sin avisar. Es el usuario el responsable de revisarlas periódicamente.
– No garantiza la confidencialidad de conversaciones, ni de contenidos intercambiados.
– Los ‘Status Submission’ no son borrados, se mantienen en las bases de datos de la compañía
– Está prohibido el uso comercial de la aplicación y la utilización de bots que envíen mensajes masivos.
Así pues, hay que tener cuidado con el uso que damos a las aplicaciones móviles.
