Durante mucho tiempo tanto usuarios como expertos en seguridadhan criticado la famosa aplicación de mensajería WhatsApp , por la forma en que la compañía tratabainternamente las conversaciones de los usuarios. Mientras que otrosservicios contaban con encriptación y diversas medidas deseguridad, cada vez eran más evidentes sus fallos de seguridad.
Sin embargo, el mes pasado la compañía decidió incluirfinalmente un sistemade cifrado de mensajes de extremo a extremo , una novedad que secomunicó a los usuarios mediante avisos en cada una de lasconversaciones y grupos que mantuviesen activos. El problema es que WhatsApp noproteje todos los datos mediante este sistema , y aun así, ahoraunos investigadores aseguran que incluso elcifrado en inútil en este tipo de aplicaciones.
Investigadores de seguridad de la empresa PositiveTechnologies han descubierto que es posible interceptar cualquier mensaje como si ellos fuesenpartícipes de la propia conversación , en servicios demensajería instantánea como WhatsApp o Telegram . Al parecer, el problema estaríarelacionado con los protocolos de los mensajes móviles.
En realidad no se trata de un ataque externo a estos servicios,ya que básicamente un ciberdelincuente puede suplantar la identidad de la víctima de cara alservicio. De este modo, las medidas de seguridad como el cifrado deextremo a extremo adoptadas por WhatsApp y elresto de servicios de mensajería se vuelven inútiles.
Estosson los datos que Whatsapp no protege con el cifrado
Según comenta Alex Mathew, de Positive Technologies ,todas las aplicaciones similares a WhatsApp y Telegram utilizan la verificación porSMS basada en mensajes de texto que utilizan el protocoloSignalling System 7 ( SS7 ) para comprobar laidentidad del usuario. Hasta que no introducimos el código recibidono podemos iniciar sesión en un nuevo dispositivo.
De hecho, Mathew va más allá y recuerda que la autenticación porSMS es parte de los mecanismos de seguridad de WhatsApp , Telegram , Viber y Facebook , pero también dela verificación en dos pasos de cuentas como Google o Microsoft. Unciberdelincuente puede fácilmente interceptar estos mensajes por la red SS7 y asumir la identidad del usuarioiniciando sesión y suplantando su identidad.
Una vez hecho esto, el atacante pasa a tener control total sobre el servicio , sea cual sea, siendoposible leer y escribir mensajes sin ningún impedimento. Además, siel historial de conversaciones estuviese almacenado en el servidor,también podría recuperar todas las conversaciones fácilmente, yaque en esencia el atacante se hace pasar por el usuariolegítimo.
¿Qué es...laverificación en dos pasos?
Lo preocupante es que no se necesita ningún equipo sofisticado,y tanto agencias de inteligencia como el FBI o la CIA, comopersonas con un cierto conocimiento de la materia, pueden hacerlo.En Positive Technologies utilizaron un ordenador con Linux como sistema operativo, y un SDK público para generar paquetes SS7con el objetivo de demostrar su afirmación.
El protocolo SS7 fue desarrollado en 1970 ydesde entonces no ha sido mejorado ni revisado, especialmentedespués de que los sistemas se volviesen accesibles a través deInternet. Quizás sería hora de revisar las vulnerabilidades del SS7a fin de garantizar la seguridad de los usuarios, o dejar deutilizar los mensajes SMS como parte del proceso deautenticación.
[ Fuente: PTSecurity ]
Post a Comment