'

martes, 9 de julio de 2013

El problema no es Priyanka, el peligro real son los constantes fallos de seguridad en WhatsApp


Priyanka es el primer virus qué, aprovechando una de tantas vulnerabilidades en WhatsApp, hace pasar un mal rato a sus usuarios en Android. Pero no me referiré a cómo evitar Priyanka. Para conocer su accionar visiten GeekLifeRD, dónde se explica muy bien el problema y su solución. 

Me centraré en la raíz de todo, que no es precisamente Priyanka sino los incontables problemas de seguridad en WhatsApp. 

Hace más de un año escribí un  artículo con algunas razones para cuidarse en WhatsApp. Una de ellas es la que hoy se aprovecha para la propagación del virus Priyanka: que cualquier desconocido con tu número telefónico pueda enviarte mensajes y archivos sin antes WhatsApp preguntar "¿esta persona quiere chatear contigo, ¿deseas aceptarlo entre tus contactos?". 

Por "cualquier desconocido" quiero decir, un cracker (o hacker, como erradamente se les llama) con la intención de enviar SPAM o realizar inundaciones serias. Ya qué, técnicamente en 20 minutos cualquier persona podría conseguir la información necesaria para construir una base de datos con una significativa cantidad de números de móviles que utilicen WhatsApp.


El formato de números telefónicos de diez dígitos vigente en nuestro país y muchos otros, consiste en un código NPA o código de área del país. Para este hipotético caso que planteo serían 809, 829 u 849. Sumado al código NXX,  tres dígitos siguientes al código NPA + cuatro números subsiguientes que identifican a cada abonado.



Los códigos NXX son asignados por INDOTEL a cada prestadora telefónica y esa información es de dominio público. Pueden verla en la web de INDOTEL, incluso para la comodidad de cualquier cracker, en un archivo de Microsoft Excel con celdas divididas entre líneas fijas y móviles.

En este punto solo se necesitará el razonamiento de una niña de nueve años para descargar esos listados de INDOTEL, aplicar dos simples fórmulas de Excel para separar las líneas móviles, filtrar las cuatro principales telefónicas, tomar la referencia de cada CÓDIGO NPA 809 y 829 junto con los CÓDIGOS NXX confirmados, y para completar el teléfono, utilizar un generador de números aleatorios de cuatro dígitos con variables de 0 al 9. 

Así obtendrían las diez mil combinaciones numéricas de 4 dígitos subsiguientes a cada CÓDIGO NXX (que para la suerte de cualquier cracker malintencionado, están uniformemente distribuidos). ¡Listo!

Saber cuales de esos números están registrados en WhatsApp es muy sencillo. Y no es necesario hacer algo ilegal o realizar peticiones masivas a los servidores de WhatsApp. Pero no lo publicaré aquí. La idea de este artículo es solo sustentar por qué es IMPORTANTE integrar un sistema de autorizaciones en WhatsApp, no causar daño a terceros.   

¿Quieren más vulnerabilidades?
El año pasado se aprovechó una vulnerabilidad en WhatsApp para enviar 1000 peticiones de 1000 CÓDIGOS NPA + CÓDIGOS NXX en un segundo y saber cuántos usuarios registrados existían en esta aplicación en un país determinado, sus números telefónicos exactos y sus estados de WhatsApp. Y ya con esos datos...

También existe otra vulnerabilidad de WhatsApp que permite enviar imágenes de 5GB a un usuario y agotarle así su plan de datos y en otros casos además reiniciar el equipo por falta de memoria para procesar una imagen con ese tamaño. 

Y podría seguir citando vulnerabilidades que cualquier persona común, pero con mala intención, podría aprovechar gracias a qué WhatsApp no requiere algo tan simple como una autorización la primera vez que un usuario desea entrar en contacto con otro. Tal como sí lo hace el BBM, GoogleTalk, Skype y LINE, entre otros.

Es la razón, entre otras como la suplantación de números, por la cuál dejé de usar esa aplicación y estoy a la espera del Blackberry Messenger (BBM) para iOS y Android.

Insisto amigos: ¡el peligro real no es Priyanka! La fiebre no está en las sábanas. Anteojos para quién no pueda -o no quiera- ver dónde está el verdadero fallo. 

8 comentarios:

  1. ¡Jajaja! Me encantó, especialmente la última línea.

    ResponderEliminar
  2. En el parrafo 9 me dejaste con la curiosidad jajaja , BBM sera una app para Android y iOS pero eso no supone un deceso en la venta de Blackberry??

    ResponderEliminar
  3. Exactamente la misma pregunta que ne hice cuando supe la noticia, pero sí BBM para iOS y Android antes del fin del verano.

    ResponderEliminar
  4. Ahora si me he preocupado. Pues creo que cuando al fin salga BBM pues si Whatsapp tendrá problemas. No hay peor ciego que aquel que no quiere ver.

    ResponderEliminar
  5. Magnifica entrada! Me encantó! :D *envía link estilo BC por whatsapp* :')

    ResponderEliminar
  6. Teofilo Israel Vizcaíno Rodríg7/10/2013 11:35:00 a. m.

    ¿Ese virus no ataca a usuario iOS?

    ResponderEliminar
  7. muy bueno el articulo..

    ResponderEliminar
  8. el virus ataca a cualquiera, porque uno de mi amigo tenia whats app en ios, de un a dos meses se fue infectando en su iphone 5, se cambiaron los nombres de los contactos de whatsapp....

    ResponderEliminar

Copyright © 2012 Amandysha.
Blogger Template by Clairvo