Cuando instalas WhatsApp en tu teléfono inteligente, te solicita que apruebes los permisos solicitados, confirmes tu número de teléfono e importes tus contactos existentes. ¿Es seguro darle a una aplicación tanto acceso a tu información personal? Los expertos en ciberseguridad opinan sobre las funciones de seguridad y privacidad de la aplicación, advirtiendo que podría convertir tu teléfono en un objetivo fácil para los piratas informáticos y ofreciendo sugerencias para aumentar su seguridad. Los expertos tampoco tendrían estas aplicaciones en sus teléfonos inteligentes.
La aplicación de mensajería WhatsApp existe desde hace mucho tiempo. Se lanzó en 2009 y fue comprado por Facebook en 2014, pero recientemente, ha ganado más popularidad por las funciones de encriptación que hacen que sus chats sean más seguros que otros.
Sigue leyendo para descubrir qué es WhatsApp, si es realmente seguro y privado, y si deberías preocuparte por la piratería de tu información de WhatsApp. Aquí encontrarás todo lo que necesitas saber sobre los problemas de seguridad de WhatsApp.
Indice
¿Qué es WhatsApp?
WhatsApp, también conocido como WhatsApp Messenger, es una aplicación de mensajería gratuita y un servicio de voz sobre IP. Se lanzó por primera vez en 2009 y se utilizó principalmente como un servicio de mensajería gratuito para comunicaciones internacionales. Luego fue adquirido por Facebook en 2014 y se hizo más popular entre empresas y entidades privadas en lugar de solo conversaciones internacionales. Es utilizado por aproximadamente 1.5 mil millones de personas en todo el mundo.
Aquí está el atractivo: a través de WhatsApp, los usuarios envían mensajes de texto, mensajes de voz, llamadas de voz y video totalmente cifrados, y pueden compartir ubicaciones, documentos, imágenes y otro contenido de mensajería con la medida de seguridad adicional del cifrado de extremo a extremo.
Cifrado de WhatsApp
WhatsApp utiliza cifrado de extremo a extremo para proteger todas las comunicaciones en su plataforma. Estas claves de cifrado no solo imposibilitan el descifrado de mensajes, sino que también impiden que terceros e incluso WhatsApp accedan a mensajes o llamadas. Eso significa que solo tu y la persona o grupo con el que te estás comunicando pueden leer o ver los mensajes, fotos o archivos que envías, o escuchar las llamadas que realizas.
Privacidad de WhatsApp
Además de su función de cifrado, WhatsApp permite a los usuarios personalizar su configuración de privacidad, incluida la visibilidad de su estado y perfil para los demás. Pero ten en cuenta que no todo lo que haces en la aplicación es privado.
WhatsApp recopila y comparte información sobre cómo utilizas el servicio, incluido el intercambio de información con su empresa matriz, Facebook. Puedes obtener más información sobre qué información se recopila y cómo se utiliza leyendo la política de privacidad de WhatsApp.
¿WhatsApp es privado?
Muchas de las funciones de WhatsApp lo hacen privado: el cifrado de extremo a extremo significa que los mensajes y los intercambios de archivos son «privados», es decir, entre el remitente y el receptor. Los mensajes no se almacenan en el servidor de WhatsApp excepto por una excepción.
WhatsApp utiliza WiFi para enviar mensajes, por lo que enviar cualquier mensaje, incluso uno internacional, es gratis ya que depende de una conexión a Internet y no de un servicio celular. Pero si un mensaje no se enviara (por cualquier motivo), se almacenaría en el servidor de WhatsApp. Pero solo hasta que se entregue con éxito.
WhatsApp también permite a sus usuarios personalizar la configuración de privacidad. Esto incluye personalizar la visibilidad de su perfil para que otros puedan ver si está activo o no. Pero recuerda: WhatsApp es propiedad de Facebook. WhatsApp realiza un seguimiento de la frecuencia (y durante cuánto tiempo) de uso de la aplicación, información que luego comparte con Facebook.
¿Es totalmente privado? No. Ninguna aplicación realmente lo es.
¿Es seguro WhatsApp?
La función de cifrado de extremo a extremo de la aplicación le ha ganado a WhatsApp un poco de reputación por ser segura y privada. ¿Pero lo es realmente?
Debido a que utiliza cifrado de extremo a extremo, WhatsApp es inherentemente la opción más segura que otras aplicaciones de mensajería. Sí, eso incluye Facebook Messenger, Instagram Messages, Snapchat e incluso el viejo iMessage normal. Pero tampoco es 100% infalible.
No olvides que, aunque tus archivos y mensajes pueden estar encriptados, WhatsApp aún solicita tus contactos cuando creas una cuenta. A pesar de sus medidas de cifrado, esto aún pone en riesgo tu información personal, un riesgo menor que la mayoría, claro, pero aún en riesgo.
WhatsApp también rastrea cuánto tiempo pasas en la aplicación. Entonces, aunque los archivos están encriptados, WhatsApp aún se basa en agregar cierta información sobre cómo se usa.
Problemas de seguridad de WhatsApp
WhatsApp es vulnerable por diversas razones. Existe la falta de cifrado con las copias de seguridad , lo que aumenta el riesgo de que los archivos se escapen a otros canales. Al igual que su empresa matriz, Facebook, WhatsApp también es propenso al flagelo de la desinformación y el error . Luego, existen preocupaciones sobre la viabilidad de WhatsApp para el cumplimiento del RGPD empresarial.
Sin embargo, las tres grandes preocupaciones de WhatsApp para los equipos de riesgo son el malware, el compromiso de la cuenta y los riesgos de cumplimiento.
Software malicioso
En 2018, Kaspersky Labs descubrió que los usuarios de WhatsApp en Italia habían sido infectados con un software espía troyano llamado SkyGoFree. El malware convirtió los teléfonos Android en dispositivos de escucha subrepticios, lo que permitió a los piratas informáticos escuchar en secreto conversaciones y robar mensajes privados, detalles de ubicación y registros de llamadas. Kaspersky Labs lo describió como “una de las herramientas de software espía más poderosas que jamás hayamos visto”.
De manera similar, Labyrinth Chollima, un actor de amenazas de Corea del Norte, recientemente aprovechó WhatsApp para entregar cargas útiles maliciosas a las víctimas. Con su último ataque detectado en junio de 2020, Labyrinth Chollima crea perfiles y se conecta con los empleados de la empresa en LinkedIn, y los atrae a WhatsApp, donde reciben mensajes y contenido con malware.
Otro ataque común es que los atacantes crean sitios web de phishing para engañar a los usuarios de WhatsApp para que entreguen información personal. Los sitios web que se hacen pasar por la plataforma web de WhatsApp solicitan a los usuarios que ingresen números de teléfono para conectarse al servicio. Luego, usan este número para bombardear a las víctimas desprevenidas con spam, o correlacionar el número con otros datos filtrados en Internet.
Como ilustran estos dos ejemplos, la naturaleza de los ataques de malware de WhatsApp varía. A veces, otras plataformas están envueltas en un ataque de múltiples vectores, a veces no lo están; a veces se requiere phishing, a veces no. Pero WhatsApp es tan omnipresente que se convierte fácilmente en los intentos de los malos actores de comprometer objetivos con malware. La falta de visibilidad de las comunicaciones sigue siendo uno de los problemas de seguridad clave de WhatsApp para los equipos de seguridad.
Hackeo de cuentas y compromiso
El hombre más rico del mundo se vio comprometido a través de WhatsApp. En enero de 2020, surgieron informes que describían cómo la cuenta de WhatsApp del fundador de Amazon, Jeff Bezos, había sido pirateada, probablemente por parte de actores estatales. Bezos recibió un video en una conversación de WhatsApp, que reprodujo. El video contenía software espía de NSO Group que penetró el teléfono de Bezos y exfiltró una gran cantidad de datos. Las acusaciones fueron que el remitente del video era alguien que Bezos conocía: Mohammed bin Salman, el príncipe heredero de Arabia Saudita.
Bezos sufrió un clásico ataque de spear-phishing. Pero el vector de ese ataque muestra por qué el compromiso de la cuenta también será una de las preocupaciones clave de seguridad de WhatsApp. Las personas son muy activas en su WhatsApp y tienden a confiar en lo que reciben. Sin embargo, la proximidad de la aplicación al resto de un dispositivo, y todas las demás aplicaciones en ese dispositivo, la convierte en un punto de entrada potencial para problemas graves.
WhatsApp también es vulnerable al robo de códigos de autenticación por SMS. Un atacante instala WhatsApp en un dispositivo y usa tu número de teléfono para registrarse. Cuando la aplicación te envíe un mensaje de texto con el código, el atacante se hará pasar por alguien que conoces y solicitará el código. Dado que el código es en realidad para tu número, inadvertidamente les permite acceder a tu WhatsApp. Este truco de ingeniería social permite a los atacantes secuestrar cuentas y usarlas para apuntar a los contactos de la víctima, ya sea para solicitar dinero o enviar archivos adjuntos maliciosos.
Riesgos regulatorios y de cumplimiento
Uno de los riesgos más graves de usar WhatsApp para empresas se relaciona con la seguridad y el cumplimiento. Muchas industrias tienen regulaciones estrictas sobre cómo las empresas pueden comunicarse con clientes e individuos. Un buen ejemplo son los productos farmacéuticos.
La gran fuerza de campo brasileña de un líder farmacéutico Global100 generaba más de 100.000 mensajes de WhatsApp cada mes. Sin embargo, la industria farmacéutica tiene pautas estrictas sobre cómo los representantes pueden y no pueden discutir los eventos adversos, el uso no indicado en la etiqueta y otros temas. Hasta que implementaron la protección adecuada, la empresa no podía garantizar que sus comunicaciones de WhatsApp fueran compatibles. La revisión manual nunca podría mantenerse al día. Solo un puñado de mensajes problemáticos entre 100.000 podría presentar un riesgo potencial grave.
Hay muchas otras industrias en las que el contenido de las comunicaciones de WhatsApp corre el riesgo de violar las leyes de cumplimiento: atención médica, ciencias biológicas, finanzas, gobierno, energía y más. Sin las herramientas adecuadas, los equipos de seguridad no tienen forma de garantizar que los riesgos de cumplimiento y normativos no aparezcan en la correspondencia de WhatsApp.
Fundamentos de la seguridad empresarial de WhatsApp
Proteger a las empresas y empleados de estos problemas de seguridad de WhatsApp requiere cuatro pasos clave:
- Los empleados deben reconocer la necesidad de la supervisión y optar por ella. Asegurar WhatsApp requiere visibilidad. Los equipos de seguridad y cumplimiento deben comenzar con total transparencia. Las empresas deben explicar a los empleados por qué sus comunicaciones de WhatsApp deben ser monitorizadas y cómo lo harán los equipos de seguridad. Los empleados deben mantenerse informados y deben ser conscientes de que sus mensajes de WhatsApp se analizan en busca de enlaces maliciosos e infracciones de políticas.
- El 100% de visibilidad es imprescindible. Una vez que tengas la aceptación de tus empleados, el siguiente paso es obtener una visibilidad completa de todas tus comunicaciones de WhatsApp. Debido a que esto involucra cientos, miles o incluso decenas de miles de mensajes por día, los CISO deben reconocer que la revisión manual no es suficiente. Se acabaron los días del muestreo. Necesitas una visibilidad del 100% y la aparición automática de infracciones de políticas. Para obtener esta visibilidad, necesitas una solución de protección de riesgos digital impulsada por inteligencia artificial. Una plataforma única, unificada, con supervisión total, es lo que permitirá a las empresas proteger verdaderamente las comunicaciones de WhatsApp.
- Las políticas deben ser personalizables. Cada empresa y cada industria experimenta diferentes formas de presiones de riesgo digital. Cada empresa también tiene su propio conjunto de políticas y estándares internos que deben cumplir. Al establecer los protocolos de seguridad de WhatsApp, las empresas necesitan soluciones de gestión de riesgos que les permitan personalizar sus políticas y aplicarlas rápidamente en todo un canal. La capacidad para actualizaciones rápidas, ajustes y renovaciones también es imprescindible.
- Emplea tecnologías escalables. Una solución de seguridad de WhatsApp debe ser verdaderamente escalable. Las empresas solo tendrán que usar WhatsApp cada vez más en los próximos años. A medida que crezca, aumentará el volumen y la velocidad de las comunicaciones de WhatsApp. Necesitas una postura de seguridad sólida de WhatsApp que puedas escalar sobre la marcha, sin límite.
Los problemas de seguridad de WhatsApp son muy reales y los CISO deben estar alerta. Sin embargo, el uso de WhatsApp para empresas se está convirtiendo rápidamente en un requisito para las empresas que quieren seguir siendo competitivas. Las ventajas de WhatsApp para el crecimiento empresarial son simplemente demasiado grandes para ignorarlas. Por esta razón, comprender los riesgos y establecer un modelo de seguridad empresarial de WhatsApp no se puede suspender.
¿Debería preocuparme por WhatsApp?
Inminentemente, no. En muchos casos, WhatsApp es la opción más segura, pero es importante entender que tampoco es inmune a los piratas informáticos.
De hecho, WhatsApp fue atacado por piratas informáticos en 2019. Al llamar a la gente a través de WhatsApp, los piratas informáticos descubrieron que podían infectar teléfonos con un software espía llamado Pegasus. Pegasus permitió a los piratas informáticos de ubicaciones remotas obtener acceso a todo en el teléfono infectado. Ese es el contenido de mensajes y archivos a datos sobre la ubicación de ese teléfono. Para colmo de males, era un hackeo tan avanzado que era casi imposible averiguar si un teléfono estaba infectado con Pegasus.
No te preocupes, Pegasus ya no es una amenaza y, de hecho, WhatsApp reparó el error que permitió que sucediera con relativa rapidez. Pero saber que sucedió una vez es crucial; si sucedió antes, puede volver a suceder, aunque es probable que los desarrolladores de WhatsApp hayan aprendido mucho de esa brecha de seguridad.
Aún así, la conclusión clave aquí es que ninguna aplicación es impenetrable y, siempre que uses aplicaciones de mensajería, existe el riesgo inherente de que otra persona a la que no estaba destinada pueda acceder a tu información.