Dadas las numerosas solicitudes que he recibido al respecto, hoy vuelvo a tratar un tema que ya me he ocupado en varias ocasiones en el pasado: como espiar whatsapp android. No, no se preocupe, no quiero fomentar actividades ilegales como el monitoreo de comunicaciones electrónicas. Todo lo contrario. Con el tutorial de hoy quiero analizar algunas técnicas adoptadas por los ciberdelincuentes para capturar nuestras conversaciones en WhatsApp y quiero que descubras todas las «armas» que tenemos a nuestra disposición para defendernos.
Afortunadamente, la situación no es tan dramática como algunos quieren que parezca. En Android, WhatsApp utiliza una técnica de cifrado con nombre de extremo a extremo que hace que los mensajes solo sean visibles para sus respectivos remitentes y destinatarios. Los chats llegan en forma encriptada incluso en los servidores del servicio y es difícil para un atacante «atraparlos» con actividades como rastrear redes inalámbricas (a menos que haya una falla en la implementación del sistema de encriptación, no podemos saber esto ). En cualquier caso, ¡está prohibido bajar la guardia!
Existen técnicas, si queremos menos refinadas pero igualmente muy peligrosas, que permiten robar la identidad de una persona en WhatsApp accediendo físicamente a su teléfono móvil. Veamos de inmediato cuáles son y equipémonos para evitar que nadie los ponga en práctica en nuestros teléfonos móviles.
Espiar WhatsApp Android con WhatsApp Web
Web de WhatsApp, como seguramente sabrás, es una función de WhatsApp que te permite acceder al servicio a través de la Web. Funciona en cualquier Pc y es compatible con muchos navegadores diferentes: Chrome, Firefox, Opera y Safari (con funciones limitadas, como también te expliqué en mi publicación en WhatsApp para PC).
Usarlo es realmente simple: solo conéctese al sitio web.whatsapp.com, escanea el código QR que aparece en la pantalla del PC con la cámara del smartphone y listo. Entonces, ¿qué tiene de peligroso todo esto?
Los riesgos para nuestra privacidad provienen del hecho de que WhatsApp Web es capaz de almacenar la identidad del usuario (solo ponga la marca de verificación en la opción Mantente conectado para acceder al servicio sin tener que escanear el código QR) y el hecho de que no se requiere que el teléfono móvil esté en la misma red Wi-Fi que la PC. WhatsApp Web solo funciona si el teléfono móvil en el que está instalado WhatsApp está encendido y conectado a Internet, pero la conexión se puede realizar a través de cualquier red inalámbrica o incluso a través de la red de datos 3G / LTE, los dos dispositivos no necesariamente tienen que estar en la misma habitación.
Esto significa que un atacante podría robar su teléfono móvil con una excusa (por ejemplo, la necesidad de realizar una llamada urgente), utilizarlo para acceder a WhatsApp Web y mantener el acceso a sus conversaciones durante varios días.
Cómo defenderse: Para defenderse de este tipo de amenazas, debe practicar un poco de sentido común, para no tener que prestar su teléfono móvil a extraños y no tener que dejarlo desatendido en lugares públicos. También puedes ir al menú Chat> […] > WhatsApp Web de WhatsApp y verifique todas las sesiones web activas de WhatsApp en su cuenta. Si detecta alguna actividad sospechosa, presione el botón Cerrar sesión en todas las Pcs y todas las PC conectadas a su cuenta perderán el acceso (deberá escanear el código QR nuevamente con su teléfono móvil para acceder a WhatsApp Web).
Clonar WhatsApp
Otra de las técnicas que utilizan los ciberdelincuentes para espiar WhatsApp Android consiste en clonar la dirección MAC del teléfono de la víctima, instalar WhatsApp y robar la identidad de la persona a espiar. Es un procedimiento muy elaborado, bastante largo de poner en práctica, pero aún muy peligroso.
La dirección MAC, si nunca ha oído hablar de ella, es un código de 12 dígitos que le permite identificar de forma única todos los dispositivos capaces de conectarse a Internet. WhatsApp también lo usa, junto con el número de teléfono, para verificar la identidad de sus usuarios… y aquí es donde los ciberdelincuentes pueden tenerlo en sus manos.
Hay aplicaciones, como BusyBox es Dirección Mac fantasma, Que permiten para disfrazar la dirección MAC de los smartphones Android (solo los previamente sometidos al procedimiento de root) haciéndola parecer a la de otro teléfono.
Este «truco» puede permitir a un atacante clonar la dirección MAC de un teléfono (el smartphone de la persona a la que va a espiar), instalar una nueva copia de WhatsApp, activarla con el número de la víctima y así obtener acceso completo a todos sus conversaciones.
Cómo defenderse: este tipo de ataque, así como el que vimos anteriormente, requiere acceso físico al teléfono móvil de la víctima. Esto significa que puedes evitarlo no dejando tu teléfono a merced de extraños y aplicando algunas medidas de protección básicas.
Uno de estos es definitivamente el uso de un PIN seguro para evitar el acceso no autorizado al teléfono móvil (por otro lado, para ver la dirección MAC del teléfono móvil, simplemente vaya al menú de configuración, ¡no debe ser un pirata informático!) Si aún no lo ha hecho, configure un PIN seguro en su Android yendo al menú Configuración> Seguridad> Bloqueo de pantalla y seleccionando el artículo ALFILER de este último. Alternativamente, también puede seleccionar el elemento Secuencia y use un gesto (es decir, un «dibujo» para hacer con el dedo en la pantalla del teléfono) en lugar del código numérico.
Otro consejo que tengo ganas de darte es el de prohibir la visualización de SMS en la pantalla de bloqueo de Android (de esta manera, incluso los SMS con el código de verificación de WhatsApp no pueden ser vistos por personas malintencionadas). Para hacer esto, vaya al menú Configuración> Seguridad> Bloqueo de pantalla de Android, establezca un ALFILER o uno Secuencia y elige ocultar contenido sensible.
Aplicaciones espía
Como también te expliqué en mi tutorial sobre cómo espiar teléfonos móviles Android, la Google Play Store está llena de aplicaciones de control parental y ubicación remota de teléfonos móviles que, si se configuran correctamente, pueden permitir que un atacante espíe un teléfono a distancia, capturando todo. lo que se escribe en su teclado y lo que sucede en su pantalla.
Cómo defenderse: Incluso las aplicaciones espías necesitan acceso físico al teléfono para poder instalarse, por lo que se aplican todos los consejos que les di antes. También puedes intentar acceder al menú Configuración> Aplicaciones> Todas de Android y ver si hay algún nombre «sospechoso» entre las aplicaciones instaladas en el teléfono.
Desafortunadamente, la ausencia de nombres «sospechosos» en los menús de Android no disipa por completo la duda sobre la presencia de aplicaciones espías en el teléfono móvil. Este tipo de aplicación, de hecho, tiene la capacidad de ocultarse de todos los menús del sistema y para deshacerse de ella primero debe desbloquearlas ingresando las contraseñas apropiadas.
La persona espiada obviamente no conoce estas contraseñas y, por lo tanto, puede deshacerse de la aplicación espía solo formateando su dispositivo. Si tienes este tipo de sospechas pero no has encontrado nombres «extraños» en el menú de Android, intenta resetear Android siguiendo mi tutorial sobre el tema y deberías solucionar el problema.
Olfateo inalámbrico
WhatsApp para Android, como se indicó al principio de esta publicación, utiliza un sistema de cifrado de extremo a extremo llamado TextSecure. Este sistema se basa en el uso de dos claves: una clave pública que se comparte con nuestro interlocutor y se utiliza para cifrar los mensajes salientes y una clave pública que en cambio reside solo en nuestro teléfono móvil y nos permite descifrar los mensajes entrantes.
Con el cifrado de extremo a extremo, se minimiza el riesgo asociado con el monitoreo de redes inalámbricas (el llamado rastreo inalámbrico), ya que toda la información circula en forma cifrada pero… hay un pero.
WhatsApp es una aplicación de código cerrado, no podemos analizar a fondo su código fuente, por lo que no podemos saber si el cifrado se aplica siempre, si en algunos países está deshabilitado a petición de los gobiernos locales o si su implementación se ha realizado para regla de arte. No hace falta decir que un simple error en el uso de esta tecnología haría que la aplicación volviera a ser vulnerable y disminuiría enormemente la seguridad de nuestras conversaciones.
Una primera alarma sobre la seguridad del cifrado de extremo a extremo en WhatsApp se produjo en abril de 2015, cuando un equipo de investigadores alemanes descubrió que solo las comunicaciones Android> Android estaban protegidas con cifrado TextSecure. En otras circunstancias, la aplicación utilizó una tecnología basada en el algoritmo RC4 que ya no se cree que sea impenetrable y es mucho más fácil de descifrar para los ciberdelincuentes.
La situación debería mejorarse ahora. Los desarrolladores del sistema de encriptación de WhatsApp se han asegurado de que la encriptación de extremo a extremo llegará gradualmente a todas las plataformas, pero persiste la incertidumbre sobre la imposibilidad de verificar el código de WhatsApp. No podemos saber si y qué tipos de comunicaciones están realmente encriptadas. Debemos «confiar».
Cómo defenderse: Si el cifrado de un extremo a otro no funciona, lamentablemente los usuarios no podemos hacer nada. El único consejo que puedo darte es que evites las conexiones Wi-Fi públicas, que se sabe que son el terreno de caza favorito de los ciberdelincuentes. Por lo demás, si no te fías de WhatsApp, deja de usarlo y contacta con otra aplicación de mensajería con cifrado de extremo a extremo, posiblemente de código abierto (para tener más garantías sobre el funcionamiento del cifrado).