Ataques usando WhatsApp aprovechando fallos de diseño en la generación de contraseñas

Cuando una aplicación se hace tan popular como WhatsApp, no es de extrañar que muchas miradas se posen en ella buscándole las cosquillas. La cantidad de información confidencial que se puede obtener espiando conversaciones entre usuarios que usen esta aplicación es muy atractiva, pero tras la reciente publicación de la metodología usada por WhatsApp para generar la contraseña de un usuario parece que las posibilidades para los ciberdelincuentes aumentan de forma considerable.

El año pasado ya informábamos en nuestro blog del grave fallo en nuestra privacidad que suponía que los mensajes enviados por WhatsApp no estuviesen cifrados. Gracias a la información proporcionada por los chicos de Security By Default descubrimos este grave fallo y sus posibles consecuencias. No fue hasta hace unas semanas que esta aplicación decidió empezar a cifrar sus mensajes.

No obstante, este sería el menor de sus problemas, puesto que las investigaciones sobre su seguridad hechas públicas desde entonces no han hecho sino aumentar el número de fallos graves de diseño descubiertos que permitirían toda una serie de acciones maliciosas contra sus usuarios. A pesar de que desde Security By Default nos informan de nuevo de que los métodos de generación de la contraseña eran conocidos desde febrero de este año, no fue hasta principios de este mes que la noticia cobró relevancia al publicarse los métodos usados para generar las contraseñas en dispositivos Android primero y luego en iOS.

La verdad es que a muchos se nos quedó cara de tonto cuando comprobamos que toda la seguridad de nuestra cuenta de WhatsApp dependía únicamente de hacer una reducción criptográfica usando el algoritmo MD5 del número IMEI invertido de nuestro dispositivo Android y de aplicar un MD5 a la dirección MAC duplicada de nuestra tarjeta de red en caso de dispositivos iOS. Especialmente grave resulta la manera de generar la contraseña en dispositivos iOS, puesto que cualquiera que esté espiando las comunicaciones en una red Wi-Fi insegura podría obtener nuestra dirección MAC de forma sencilla, y con ella, nuestra contraseña.

A partir de aquí, fiesta. La suplantación de la identidad de otra persona es solo uno de los ataques que se pueden realizar a los usuarios de WhatsApp. Alejandro Ramos (@aramosf), investigador colaborador en Security By Default, nos describe una serie de posibles ataques, a cada cual más preocupante:

• Spam: aprovechándose de la posibilidad de enviar mensajes a cualquier usuario tan solo conociendo su número de teléfono, es posible bombardearnos con spam. Además, si alguien consiguiera el listado de todos los números de teléfono dados de alta en WhatsApp, tendría millones de víctimas potenciales a coste cero.

• Inundación: como si de un ataque de denegación de servicio se tratase, usando una técnica similar a la anterior se podrían enviar millones de mensajes a un número en concreto dejando el teléfono inservible hasta que elimine la aplicación o deje de recibir datos.

• Robo de cuenta: como ya hemos dicho antes, si conocemos el IMEI o la dirección MAC del dispositivo (dependiendo de si es Android o iOS) podríamos llegar a obtener acceso a una cuenta de WhatsApp. El sueño de todos aquellos que sospechan de sus parejas, vamos, aunque quedarían por ver las consecuencias legales de esta acción.

Como vemos, se abre todo un mundo de posibilidades a aquellos interesados en aprovecharse de estas vulnerabilidades para inmiscuirse en la vida privada de otras personas o fastidiarles un poco la existencia. Por su parte, WhatsApp debería empezar a asumir que su popularidad los compromete también realizar un esfuerzo en cuestiones de seguridad, ya que millones de usuarios no pueden quedar expuestos a estos ataques de esta forma.

Josep Albors

@JosepAlbors