La detención la pasada semana de un hombre que había creado supuestamente una aplicación para dispositivos móviles que garantizaba el espionaje de los contactos en el popular servicio de mensajería instantánea WhatsApp ha reabierto el debate sobre los timos y estafas de «hackers» y ciberdelincuentes que buscan engañar a los usuarios mediante este tipo de prácticas. ¿Es realmente posible acceder a las comunicaciones de una aplicación? Expertos aseguran existen posibilidades.
El joven de 23 años detenido en Murcia había ideado desde su casa un timo bastante simple pero «muy eficaz» mediante el cual podría haberse embolsado unos 40.000 euros en solo dos meses. Aunque existen muchos timos al respecto, este era especialmente llamativo. Por razones de morbo o mera curiosidad, es bien seguro que a muchos de los usuarios de redes sociales se les ha pasado por la cabeza en alguna ocasión la posibilidad de «ver» las conversaciones mantienen nuestros contactos. A través de este método ya han caído más de 11.000 usuarios.
No es algo novedoso realmente, ya que desde que internet comenzó a entrar en los hogares este tipo de anuncios ha sido constante, como ya sucediera con el extinto MSN Messenger. La propia Policía ha señalado que este tipo de «apps» que garantizan averiguar desde contraseñas hasta espiar a los contactos son «vendemotos» y representan un delito de fraude.
Como la curiosidad mató al gato, son muchos los que piden en foros el poder acceder de forma ilegal el móvil de alguien. «Me gustaría saber donde puedo descargar el programa WhatsApp Spy para poder hackear el móvil de mi novia, ya que ahora mismo estamos mal y necesito espiar su teléfono», escribe un internauta en un foro de Yahoo.
Una de esas aplicaciones es WhatsApp Spy o Espiar WhatsApp, que asegura poder espiar los contactos, aunque los expertos consultados por ABC reiteran que eso no es posible, al menos de forma tan sencilla y con este tipo de aplicaciones, pese a que en este servicio de mensajería se han producido intercepciones de conversaciones debido a las vulnerabilidades de su sistema.
El caso es que esta aplicación, que lidera el ránking de las más descargadas tanto en iOS como en Android, ha estado salpicada de problemas y fallos casi desde el momento en el que nació. A WhatsApp se le acusa de no eliminar los mensajes y de la posibilidad de acceder a un terminal al compartir una red wifi. Expertos han detectado en retiradas ocasiones agujeros en seguridad en este servicio, cuyo éxito no se ha visto prácticamente alterado por la fuerte competencia de Line o WeChat.
Los expertos advierten que las unicas «apps» que permiten interceptar comunicaciones por su ausencia de mensajes cifrados son las que acceden a su interior cuando el usuario se conecta a una red wifi e instan a conectarse a redes wifi cuya propiedad esté verificada y sean seguras. Por tanto, tal y como se aseguraba en este timo, no hay ninguna aplicación que permita espiar a nuestros contactos tal y como se espera, ya que la base de datos de WhatsApp se almacena en local.
Sin embargo, aunque pudiera parecer un imposible, hay formas, según explica a este diario Yago Jesús, miembro del colectivo «SecurityByDefault». De entrada, habría que tener acceso físico al dispositivo. El problema es por la forma en la que trabaja el tipo de base de datos que emplea WhatsApp (SQLite). «Cuando se realiza una operación de borrado desde la aplicación, en muchos casos los datos (o parte de ellos) no quedan realmente eliminados y se pueden recuperar historiales. Alguien con acceso físico al móvil podría recuperar conversaciones aparentemente borradas».
Por otra parte, se puede «troyanizar» la base de datos para que «directamente cualquier cosa que el usuario borre desde la aplicación en realidad permanezca oculta dentro de la base de datos», aunque que se podría realizar desde algunas aplicaciones.
Estas dos últimas cosas se pueden realizar desde recovermessages. En esa web hay dos funciones: subir un fichero de base de datos de las conversaciones de WhatsApp, en cuyo caso será descifrado y analizado en busca de conversaciones borradas que se pueden recuperar, o bien desde recovermessages.com/WADPT se puede troyanizar la base de datos para hacer que los datos borrados permanezcan ocultos y accesibles.
También es posible acceder a conversaciones de WhatsApp sin acceso físico al sistema: «Whatsapp implementa un algoritmo de cifrado de forma deficiente (no por el algoritmo en sí, más bien por como genera la clave) que permite revertir el proceso de cifrado. Si estás empleando servicios como iCloud de Apple whatsapp.com/faq/es/iphone/20888066 para guardar tus logs, esos ficheros pueden ser accedidos y las conversaciones leídas en caso de que alguien acceda a tu cuenta en Icloud», añade.
