Whatsapp,
una de las aplicaciones de mensajería instantánea más populares del
mundo, puede ser potencialmente riesgosa para sus usuarios debido a una
serie de carencias que la hacen vulnerable a los ciberataques.
La aplicación, que cuenta con más de 500 millones de usuarios en todo el
planeta, es un objetivo común de muchos ciberdelincuentes,
según revela un estudio de la firma de seguridad informática InnoTec System [PDF], que hace parte de la empresa española Entelgy.
"Las numerosas vulnerabilidades encontradas la han situado como
blanco perfecto para la distribución de malware y robo de datos
personales. Esta situación se ha visto agravada por la escasa percepción
de riesgo entre los usuarios de dispositivos móviles, que apenas si
toman precauciones para proteger su información", señalaron fuentes de InnoTec System.
Fallos de seguridad
Después de haber sido adquirida por Facebook, las críticas por sus
falencias de seguridad solo aumentaron, asegura el estudio. Aunque la
compañía que desarrolló
WhatsApp corrigió algunas de las
vulnerabilidades, los expertos en seguridad insisten en que el cifrado
de los mensajes sigue siendo "fácil de romper".
El fallo de seguridad más importante es la "ausencia de cifrado de sus
comunicaciones", lo que facilita el acceso no autorizado a las agendas
telefónicas y mensajes de los usuarios.
Vulnerabilidades en la ubicación
El problema radica en el servicio de geolocalización de
WhatsApp, que
almacena las coordenadas geográficas y las mantiene desprotegidas.
En el momento en el que compartimos nuestra ubicación, los datos se
descargan a través de un canal poco seguro que no utiliza el protocolo
SSL (o capa de protección segura). Esto hace que cualquier usuario de
forma anónima sin necesidad de credenciales pueda hacer uso de la
aplicación para subir todo tipo de archivos de cualquier tamaño a sus
servidores.
Propagación de malware
Debido a que la aplicación no cuenta con ningún tipo de antivirus y los
contenidos se borran automáticamente en un período de 30 días, según los
especialistas esto crea un camino sencillo para distribuir todo tipo de
malware o realizar ataques de 'phishing' (suplantación de identidad).
Fallas en el proceso de registro
InnoTec System resalta la existencia de una "grave carencia" en el
proceso de registro y verificación de los usuarios. "Así, el código de
activación de usuario se genera en el propio entorno de la aplicación,
incluso antes de ser enviado a los servidores internos para que estos
manden el mensaje SMS, con el código, al usuario", advierten los
expertos.
Fuente:
Actualidad RT
