• Fecha: May 23, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Usar el puerto 443 no significa que tu información vaya cifrada. Esto es de kinder. Si la info viaja libremente entonces la posibilidad de un robo de información es latente. En el caso de WhatsApp, un sistema de mensajería instantánea gratuita, recién se conoció una vulnerabilidad que a todas luces es de las más ridículas (por básica).

WhatsApp usa el puerto 443, originalmente dedicado al tráfico cifrado para la comunicación entre el dispositivo móvil y los servidores. Problema: ¡La información no está viajando cifrada! El tema no es tan riesgoso sobre 3G, aunque sí da pie a vulnerabilidad de información, sino que el mayor problema es cuando la comunicación se hace a través de WiFi, en donde, y como ya lo hemos comentado en MaTTica, la seguridad del espectro y de las redes inalámbricas en general dejan mucho que desear.

El hecho de que se use transmisiones sin cifrado, significa que los datos viajan como texto simple. Hay 2 vulnerabilidades a nuestro juicio, primero, la facilidad de robar conversaciones ajenas y números de contacto, y segundo, la capacidad de entender el formato de las transacciones entre equipo y servidor de WhatsApp y poder hackear el servicio, hacer un ataque de inyección y muchos más ejercicios creativos de vulneración, incluyendo SPAM por WhatsApp, suplantación de identidad y más.

De acuerdo a Alt1040, por ejemplo, «Si se utiliza un software como Wireshark, es sencillo colgarse de la red inalámbrica, y de este modo, acceder a la agenda de números telefónicos, e incluso sacar los mensajes intercambiados. Se trata de un fallo muy importante, pues prácticamente toda la información se encuentra susceptible de ser extraída por falta de protección.»

¿Cómo protegerse? Desde luego no usando el servicio, ya que aún cuando no usemos WiFi y siempre nos conectemos por 3G, nunca sabremos si nuestro contacto del otro lado de la conversación usa WiFi o no. WhatsApp alega que no ven la necesidad de usar cifrado toda vez que no hay información personal en sus servidores. Mal pretexto a juicio nuestro.

¿Qué opinan? La información que viaja por la red es responsabilidad del receptor y el emisor. ¿Qué responsabilidad le guarda al carrier o proveedor del servicio (en este caso WhatsApp) el no poner medidas de seguridad adecuadas? ¿Habría un símil en un sniffing sobre WhatsApp y una intervención en una línea telefónica? ¿Cómo podría la forensia digital verse beneficiada o perjudicada por este tipo de vulnerabilidades? ¿Le compete?

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.