WhatsApp: cómo falsear mensajes y porqué no debe ser utilizado

Ver trabajar a un hacker no es lo más excitante del mundo. Sobre una mesa, dos teléfonos móviles y un ordenador portátil con la pantalla negra llena de un código ilegible para el no iniciado.

Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envió unas líneas a nuestro teléfono móvil. La suya es una magia pequeña, pero poderosa. Una grieta en un servicio de mensajería que tiene 500 millones de usuarios, un tráfico diario de 10.000 millones de mensajes, y que acaba de ser adquirida por Facebook por 19.000 millones de dólares (14.000 millones de euros). Usando una metáfora de un mundo que desaparece, lo que han logrado estos hackers buenos sería comparable a colarse en el sistema de Correos para poder recibir falsas cartas certificadas y atribuibles a una persona que nunca las escribió.
"Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones..."
"Nuestro día a día es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas", dice la pareja, que lleva un par de años explorando los fallos de WhatsApp. Desde entonces han descubierto cómo espiar conversaciones, han descifrado contraseñas, fabricado mensajes malignos que consiguen que un móvil deje de funcionar… Todas estas debilidades, que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez.

Pero a su último descubrimiento aún no se ha puesto solución. "Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones...", explican los expertos. "Por ejemplo, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera hemos tenido acceso físico". Basta con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio realizaron para EL PAÍS una prueba de la grieta que han encontrado en el servicio de mensajería WhatsApp. En una situación normal, un mensaje del teléfono A al B pasa por el servidor de WhatsApp y un sistema de cuatro contraseñas lo valida al entrar y al salir. Lo que hacen Sánchez y San Emeterio es colocarse en medio. El mensaje pasa por los dominios de WhatsApp, pero antes de llegar al teléfono B, es interceptado. Los hackers teclean en su ordenador el nombre y el teléfono de la persona a la que quieren suplantar. Cuando el mensaje aterriza en el teléfono B, este no solo no lo rechaza, sino que no hay manera de saber que el remitente ha sido modificado. Y como WhatsApp no almacena datos en sus servidores, es imposible encontrar el remitente original. En un minuto, los hackers mandan tres mensajes desde el teléfono A que llegan al B como si hubiesen sido enviados de tres números distintos. El de verdad y otros dos, a los que, por razones narrativas, han bautizado como "jefe" y "expareja", para insinuar el tipo de falsas amenazas que uno podría alegar haber recibido.

Contenido completo en fuente original El País

Suscríbete a nuestro Boletín