No conviene dejar
el celular fuera de control ni siquiera por unos minutos. Eso es lo que
puede demorar cualquier persona, aún con pocos conocimientos técnicos,
para robar la cuenta de WhatsApp y hacerse de todos los contactos y la
historia de conversaciones que uno tenga. Lo acaba de descubrir el
hacker español Chema Alonso, que advirtió los usuarios que tengan mucho
cuidado dónde dejan su celular y le envió a la empresa una sugerencia
para que solucione este problema.
"La verdad es que de tan simple
este método da hasta un poco de miedo. Con que solo dejes el celular en
tu escritorio y vayas al baño, cuando vuelvas ya te pueden haber robado
la cuenta. Y si el atacante quiere, te va a costar mucho recuperar tus
datos", le dice a Clarín Chema Alonso, un hacker conocido por mostrar
cómo se vulneran sistemas muchos más complejos.
El procedimiento,
efectivamente, es sencillo. Lo primero que hay que tener es un celular
con la aplicación recién descargada y sin activar (los más sofisticados
pueden usar un emulador de celular en la PC que hace lo mismo). En ese
equipo se debe activar la aplicación. Cuando pregunta cuál es el número
de teléfono, se pone el de la víctima.
WhatsApp ofrece dos formas
de verificar la autenticidad de la línea telefónica. La más usada y más
simple es a través de un SMS. El mensaje llega al celular y en un par de
clics, la cuenta WhatsApp ya sale andando. Pero como el SMS es un
sistema que muchas veces no funciona bien, el mensajero da la opción de
que el código llegue a través de un llamado telefónico. Esta última
opción es precisamente el punto débil por donde se puede meter el
intruso. Y esto esa así porque cuando ingresan las llamadas entrantes,
los celulares automáticamente desbloquean el equipo (patrones y
contraseñas) y cualquiera puede atender la llamada. Esa llamada
informará el nuevo código.
Una
vez que tiene el nuevo código, al intruso solo le queda introducirlo en
el otro celular. Accederá a los contactos y conversaciones. Al estar en
el nuevo teléfono, la cuenta se borra del celular original. El intruso
tiene mucho tiempo para espiar o hacer desastres haciéndose pasar por el
usuario original: el tiempo que el dueño de la línea tarde en advertir
el robo más otros 30 minutos que es lo que demora WhatsApp en reponer la
cuenta. "Peor aún, porque la primera vez te da 30 minutos, pero si el
atacante vuelve a solicitar acceso la segunda vez da una hora y así va
subiendo hasta a 4 horas", dice Alonso.
Francisco Amato, experto
en seguridad informática y CEO de Infobyte, afirma que para que el
sistema sea más seguro "debería haber una instancia más entre la llamada
y la habilitación de la cuenta". Fuentes de la industria le dijeron a
Clarín que WhatsApp usa uno de los sistemas de encriptado más avanzados,
y que esto hace que los datos estén muy protegidos dentro del sistema.
Aunque parece que descuidaron la puerta de entrada.