A última hora del viernes pasado nos sorprendió la noticia de que Apple había decidido retirar WhatsApp de su App Store por cuestiones de seguridad, causas que la propia compañía declaró como falsas en un correo electrónico que recibimos horas después. Sin embargo se negaron a darnos los que, según ellos, son los verdaderos motivos de esta situación crítica, y casi tres días después la aplicación sigue fuera de combate.
En realidad, por mucho que sus responsables intenten taparlo de cualquier manera, el asunto de los fallos de seguridad en este servicio de mensajería viene de largo, y por ello no nos ha cogido de sorpresa la decisión de Cupertino. Dado el hermetismo de ambas partes, no podemos saber si esta reciente decisión se ha producido por los problemas ya conocidos, o por algo aún más gordo que se haya podido destapar.
¿Debe cundir el pánico? ¿Se está enterando todo el mundo de las chorradas que comento con mis colegas por WhatsApp? Antes de llegar a las conclusiones más drásticas, vamos a intentar entender un poco los agujeros de seguridad que ya han sido detectados en esta popular herramienta. Luego cada uno podrá actuar como estime conveniente en base a esta información.
Un largo historial de problemas por resolver
Tal y como revelaban el pasado mes de junio en Security by Default, la aplicación guardaba sin ningún tipo de cifrado la información sobre contactos, conversaciones y sesiones en bases de datos de fácil acceso, e incluso detalles sobre la localización si el GPS estaba activo. Parece que no les afectó mucho el aviso, porque principios de este mismo mes de enero aún se podía acceder fácilmente a cualquier conversación ajena sin mucho esfuerzo.
Pasaron los meses y siguieron surgiendo brechas en la estructura, las cuales permitían tomar por la fuerza la cuenta de otro usuario por diversas vías. Sobre algunas de éstas vulnerabilidades sí que ha habido declaración oficial desde el equipo de desarrollo para asegurar que habían sido subsanadas, pero otras parecían seguir activas tiempo después.
Del mismo modo, también a principios de este año veíamos cómo un exploit en la web del servicio permitía cambiar el estado de cualquier usuario, algo que nuevamente ha sido subsanado ya por la compañía. El problema no es tener grietas de seguridad, algo a lo que cualquier herramienta está expuesta, si no que veamos cómo algunas de ellas son atajadas y otras (particuarlmente preocupantes) siguen latentes con el paso de los meses.
¿Es seguro usar WhatsApp en este momento?
Conocedor como soy de todo lo antes expuesto, de lo que ha sido solucionado y de lo que aparentemente aún sigue sangrando, personalmente no he dejado de usar WhatsApp por el momento. Eso sí, mantengo como regla de oro que en mis conversaciones no se revele nada de información más personal de lo debido, ni ningún tipo de dato sensible, que pueda quedar guardado como texto plano para que cualquiera pueda leer en el futuro.
En medio de esta pequeña gran crisis, lo único que la compañía ha publicado en su blog oficial estos últimos tres días es información sobre un insulso hoax que lleva meses circulando. Pero de la situación en la App Store, a excepción de los emails poco amigables que hemos recibido los medios, poco más se ha sabido, demostrando una evidente incapacidad para gestionar la problemática de cara a su público.
Los más suspicaces han supuesto que puede tratarse de una medida por parte de Apple para fomentar el uso de iMessage entre sus clientes, algo contraproducente y que se cae por su propio peso si tenemos en cuenta que la compañía de la manzana también ingresa dinero (y no poco) con las ventas de WhatsApp. Además, ellos son los últimos interesados en generar alarma en torno a una de las aplicaciones estrellas de su sistema operativo, de cuya seguridad siempre han presumido.
Sospecho que la política de mutismo y negación por parte de los creadores de la aplicación se mantendrá cuando ésta recupere el visto bueno para aparecer en la App Store, por lo que posiblemente nunca sepamos qué fue la gota que colmó el vaso el pasado viernes. Y una vez más nos tocará esperar al trabajo de los investigadores anónimos para saber si cuestiones como la transferencia de información sensible sin codificar han sido solucionadas.
En Genbeta | Apple retira WhatsApp de su App Store por un problema de seguridad (actualizado), Vulnerabilidad en WhatsApp puede dejar parte de tus conversaciones al descubierto
Imagen | Eva Quirinius
Comentarios
Yo he leido en otros blogs no tiene nada que ver con el no encriptar nada (no es ninguna novedad) sino con una vulnerabilidad que afectaba específicamente al iphone y que permitía obtener datos privados del telefono.
Pero vamos ni presté demasiada atención ni me acuerdo bien...
De verdad, que la fijación que muestran algunos con WhatsApp es más que curiosa.
Lo de la base de datos me hace especial gracia, puesto que al menos en Android ninguna otra aplicación puede acceder a esa base de datos. Así que ser alarmistas en ese sentido me parece absurdo.
Tan solo lo del envío sin encriptar y que se pueda capturar en una WiFi pública me parece mínimamente importante. Pero vamos, que tampoco creo que la gente se dedique a dar su número de tarjeta de crédito y PIN por WhatsApp, es algo de sentido común y más en una WiFi Pública donde NUNCA hay que enviar información sensible.
Todo debería ir encriptado, es una cuestión de buen diseño.
El sentido común es el menos común de los sentidos. Nunca subestimes la ignorancia.
La encriptación no es gratuíta, es algo que consume recursos y en un smartphone, a día de hoy, es algo fundamental, parte también de un buen diseño.
Encriptar una base de datos que el propio sistema te asegura que no puede ser leída por otra aplicación es innecesario y malgastar esos recursos.
WhatsApp es una programa de chat, no un canal de comunicaciones de alta seguridad, y la gente lo usa para comentar su fin de semana, decirse cuatro tontadas y poco más. Por no mencionar que es una aplicación pensada para ser usada sobre redes 3G, en las que no te pueden espiar con un sniffer lo que dices o dejas de decir.
Si alguien lo usa para cosas más sensibles, y además lo usa en redes públicas, está claro que no es consciente de los peligros que puede haber, pero como tampoco lo sabrá cuando se ponga a chatear con el Messenger o similares desde un PC.
Será porque no se ha dicho y escrito sobre el tema de tener mucho cuidado al conectarte a una red pública, cuando incluso el propio Windows te notifica que tengas cuidado al hacerlo y con la información que envías.
Con todos mis respetos, todo esto no es más que puro sensacionalismo y ganas de buscar notoriedad por parte de unos pocos, en especial por la web referenciada 'Security By Default' que desde el primer momento exagera en sus redacciones las cosas, obviando facetas básicas y obvias de la plataforma en la que se ejecuta el programa.
¿Sabes lo que es realmente preocupante? Que los propios fabricantes y operadoras te puedan colar cosas como el CarrierIQ para que 'alguien' pueda monitorizar todo lo que haces, escribes o envías desde un smartphone.
Pero mira por donde, eso es algo que se le había pasado a tanto 'gurú' de la seguridad.
Usar las cosas para lo que debéis usarlas, en el contexto debido y para el que se han hecho y dejar de criticar por tonterías.
Un más uno para ti, creo que se sacan las cosas de sitio y ponen el grito en el cielo para causar alarmismo, Whatsapp es una aplicación de chat y yo la seguiré usando para quedar con mis amigos o comunicar cosas a mis familiares, además es multiplataforma y no me encadena a ninguna plataforma de móviles.
Saludos
Yo sigo creyendo que es un pequeño empujón a su imessage, que si ganan pasta de whatsapp imagina si controlaran todo eso... creo que quieren eliminar intermediarios y quedarse con todo el pastel ya que últimamente parecen estar de bajón y solo hay que ver el lion que es como un vista o un milenium...
justo iba a comentar eso xD
El modelo del software cerrado y privativo está condenado...
Sobre todo de aplicaciones que se lanzan con tan pocas pruebas... Luego hay problemas. No puedes pretender programar una aplicación para las 4 mayores plataformas móviles (BB OS, Android, iOS y Symbian) y pretender que todo vaya como la seda...
En mi opinión, deberían haber hecho más pruebas con la aplicación...
Yo voy a seguir utilizando GTalk en cualquier caso, que no me ata a ninguna compañía, ni a mis amigos (puedo chatear a otros servidores XMPP, aparte de Gmail) y además tiene video chat, está encriptado, se integra con Google Contacts, y con Android... Es perfecto para mí.
Ah, y es gratis :)
Y no te permite enviar ficheros adjuntos de una forma rápida. Pero todo lo demás esta muy bien
Si tienes contactos en GTalk, estoy 100% seguro de que tienen GMail, o en caso de que usen otra red XMPP, tienen otro servidor de correo... En cualquier caso, se pueden enviar adjuntos. Y yo lo prefiero. Porque de esta manera, puedo echar un vistazo rápido a fotos adjuntas desde mi móvil, y luego descargarlas en alta resolución en mi ordenador...
Y aún así, puedes elegir otro cliente que sí te permita enviar archivos adjuntos de forma rápida (como WhatsApp). Si GTalk oficial no existiera para Android, yo usaría IM+. De hecho he comprado la versión Pro y me encanta. Así que hay muchas opciones para elegir si no estás conforme con una.
No olvides que WhatsApp, al fin y al cabo, es XMPP. XMPP puede hacer todo lo que quieras con respecto a mensajería. Sólo tienes que elegir el cliente que más te agrade, y listo.
interesante
Si es que.. esto con palomas no pasaba.
Si pasaba. Habia hackers que ponian alpiste en los sitios de descanso y cuando las palomas paraban les robaban los papelitos atados a las patas...
aunque sea una lata, la blackberry messenger estoy tranquilo y no lo pienso dos veces cuando voy a compartir información por el chat
El BBM, es desde luego de lo mejorcito que hay en mensajería instantánea.
Editado
-- editado por última vez a las 00:13
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect