El hecho de que alguien pueda espiar WhatsApp y Telegram, que ahora se han convertido en el centro de nuestras conversaciones diarias, puede hacer que se te erice de inmediato el vello de los brazos.
Te explicamos hace algún tiempo cómo esto es teóricamente posible pero difícil de implementar, sin embargo, un reciente "descubrimiento" de la firma de seguridad milanesa InTheCyber demuestra que hay un método viable para hacerlo; según ellos sería "un juego de niños".
Practicable sí, incluso bastante simple, pero eso en el mundo real podría encontrar mucha dificultad.
¿Porque? Simple: todo se basa en el hecho de que cuando ocurre la autenticación (no autorizado) para conectarse a WhatsApp o Telegram il El teléfono del titular legítimo de la cuenta debe estar apagado..
La falla descubierta por InTheCyber, como también informó el Corriere, no es típica de WhatsApp o Telegram pero se refiere a una debilidad de la sistema de contestador telefónico de los operadores españoles. Todo se basa en el hecho de que ambos sistemas de mensajería autenticarse en un dispositivo utilizando un código enviado por SMS (o por mensajería instantánea para Telegram, en algunos casos).
En caso de que la autenticación a través de SMS no sea exitosa, viene inició una llamada automática comunicar este código directamente por teléfono.
Espiar WhatsApp y Telegram: ¡llega el contestador automático!
Aquí es donde entra el contestador automático; no, no el de WhatsApp, el de nuestra operadora de telefonía! Uno mismo el teléfono del titular de la cuenta está apagado y tiene un contestador automático activo, el mensaje que contiene el código de acceso se deja en la secretaría.
La debilidad atendida: numerosos operadores españoles permiten acceder a la secretaría simplemente llamando desde su número o por otro número; en el último caso, deberá especificar el número del buzón al que desea acceder y especificar un código de acceso. Desafortunadamente, no muchos usuarios cambian este código, y hay guías en la red que ofrecen los códigos predeterminados.
Entre otras cosas, hay algunas aplicaciones que te permiten "simular" el identificador de llamadas de un número no realmente, engañando así el contestador automático y obteniendo acceso automático a él.
Moraleja: teóricamente, para tener acceso a WhatsApp y Telegram, es necesario tener el número de teléfono del usuario víctima, el código predeterminado de su contestador automático y realizar el procedimiento de inicio de sesión cuando el teléfono de este último esté desgastado.
Una serie de circunstancias que no son fáciles de conseguir, debemos admitir.
¿Qué pasa si el ataque tiene éxito?
Dicho esto, vayamos al grano: espiar WhatsApp con este método solo es posible a medias, en cuanto a restaurar copias de seguridad existentes también es necesario tener las credenciales de Gmail de la víctima; sin embargo, es posible leer los mensajes recibidos desde el momento del acceso (y posiblemente responder a ellos), al menos hasta que la víctima misma no se da cuenta de acceso no deseado y lo revoca.
Historia ligeramente diferente para Telegram, que en cambio almacena mensajes en un servidor: en caso de acceso no deseado, estos estarán disponibles de inmediato, sin embargo no habrá forma de acceder a los chats secretos. Eso es hasta que, una vez más, la víctima se da cuenta del acceso no deseado.
Los operadores de telefonía españoles ni los operadores de Telegram respondieron al informe de InTheCyber; El personal de WhatsApp, por su parte, respondió que no es un problema de su competencia ya que la debilidad es de los sistemas de contestadores automáticos.
¿Cómo resolver?
En cuanto a WhatsApp, para estar más seguros (a pesar de la ocurrencia de circunstancias es bastante difícil) podemos apaga el contestador automático en un teléfono que está apagado o inaccesible o, tal vez, cambie el código de acceso (en este caso, sin embargo, el problema de las aplicaciones de "marcación falsa" permanecería).
En cuanto a Telegram es posible evitar fácilmente esta situación sin siquiera apagar el contestador automático, simplemente habilitar la autenticación de dos factores - o la solicitud de una contraseña adicional al PIN de acceso - desde Menú> Configuración> Privacidad y seguridad.
Moraleja de la historia
El problema existe, es un hecho; sin embargo, esto no debe desencadenar un alarmismo sin sentido, ya que la ocurrencia simultánea de las condiciones para que el ataque tenga éxito (¡especialmente con el teléfono apagado!) es bastante raro. Si queremos estar seguros, las soluciones son sencillas: desactivar el contestador automático si usamos WhatsApp, activar la autenticación de dos factores si usamos Telegram.
¡Esto, al menos, hasta que los operadores implementen un mecanismo de acceso más seguro al contestador automático!