Problemas de privacidad en WhatsApp. Y no, esta vez no viene por ningún escándalo o cambios de políticas de Meta. En esta ocasión se trata de una vulnerabilidad que comparte con otras apps de mensajería como Signal o Threema.
Y es que se ha descubierto que estas apps de mensajería pueden permitir conocer la ubicación del usuario con "solo" enviar un mensaje y realizar una serie de cálculos en torno a cuánto tarda en ser recibido. Lo de entrecomillar "solo" es porque no es tampoco algo sencillo.
El doble check gris tiene la culpa
Tanto en Thremaa, Signal, como por supuesto en la popular WhatsApp, existe una forma muy sencilla de comprobar si un mensaje ha sido recibido por parte del destinatario. En el caso de la app de Meta, basta con observar que haya un doble check (✔✔), aunque no sea en color azul, ya que esto lo que indica es que además ha sido leído.
Pues bien, expertos en seguridad han elaborado un extenso documento técnico en el que se detalla cómo es posible obtener la posición de una persona sabiendo cuánto ha tardado en recibir el mensaje. Eso sí, no de forma sencilla, sino que esto entraña complejo análisis y comparación de datos.
Si se hace bien, la precisión que puede obtener el atacante sobre la posición de la víctima es asombrosa. No solo el país, ciudad o distrito, sino que también puede saber si está conectado a una red WiFi o está usando datos móviles. Si además se lanzan ataques de forma constante, pueden llegar a obtener mucha información de la víctima, llegando incluso a concluir cuál es su casa, su trabajo o el supermercado al que acude habitualmente.
Desde Restore Privacy se han puesto en contacto con algunos de los desarrolladores de las citadas apps de mensajería y, aunque parece que por parte de WhatsApp no tienen respuesta, desde Threema les remitieron la siguiente respuesta (traducida) sobre este asunto:
"Ya hemos considerado diferentes soluciones y hemos realizado varias pruebas, incluidas aquellas en las que el cliente retrasa al azar las notificaciones de entrega para que este tipo de análisis de tiempo sean inútiles. (Las actualizaciones de la aplicación que contengan esta mejora estarán disponibles pronto).
Tenga en cuenta, sin embargo, que la explotación práctica de estos análisis de tiempo es discutible: los usuarios generalmente no tienen su aplicación de mensajería abierta todo el tiempo, y las notificaciones push que despiertan la aplicación en segundo plano ya agregan un retraso considerable de hasta varios segundos."
Si bien no parece que estos ataques vayan a ser masivos y haya de qué preocuparnos, puedes quedarte más tranquilo ante este asunto usando una VPN. Así, podrás navegar estando virtualmente en otra localización y, en caso de recibir este ataque, no se podrá desvelar en qué posición real te encuentras.
Y es que, la otra solución que se propone es la de que el usuario pueda retrasar la recepción de mensajes de forma aleatoria. De esta forma se evitaría ese rastreo de la ubicación, pero lo cierto es que esta función no está habilitada en la aplicación.
Desde WhatsApp han emitido una respuesta sobre este asunto a nuestros compañeros de Genbeta en el que expresan lo siguiente:
"Tras repasar esto con detalle, hemos determinado que usar este método para establecer la ubicación aproximada de alguien requeriría enviar tantos mensajes a un receptor que podría llevar al remitente a ser bloqueado y haría que este método no fuera práctico."
Vía | JeuxVideo | Restore Privacy