Las Provincias

El CNI advierte: WhatsApp está plagado de fallos de seguridad

  • Los servicios secretos denuncian en un informe que la popular aplicación tiene agujeros importantes a la hora de proteger la privacidad

WhatsApp es un verdadero coladero en el tema seguridad. Al menos así lo asegura el mismísimo Centro Nacional de Inteligencia (CNI), que ha decidido tomar cartas en el asunto. Los servicios secretos españoles han elaborado un exhaustivo informe, fechado este septiembre y al que ha tenido acceso este periódico, en el que denuncian que la popular aplicación tiene agujeros muy serios a la hora de proteger la privacidad de las conversaciones.

El demoledor dossier es obra del más importante departamento oficial del Estado dedicado a la «ciberseguridad nacional», el Centro de Criptológico Nacional (CCN), dependiente directamente del CNI. La situación inquieta tanto al espionaje español que el informe ha sido 'desclasificado' y, de hecho, comenzó ayer a repartirse de manera profusa entre altos funcionarios del Estado y trabajadores de la administración con acceso a información sensible a modo de 'aviso para navegantes'.

El estudio denominado 'Riesgo de uso de WhatsApp' afirma que esta plataforma se ha convertido en uno de los «entornos más atractivos para intrusos y ciberatacantes» en España. «Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan», denuncia el CCN, que apunta a una decena de agujeros graves de seguridad.

La «carencia más importante» de WhatsApp, según los especialistas del CNI esté en el «proceso de alta y verificación de los usuarios». Según el informe, la debilidad de la seguridad en este paso ha «propiciado que los intrusos puedan hacerse con la cuenta de usuario de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre».

La segunda falla detectada por los servicios de inteligencia del Ministerio de Defensa es el «secuestro de cuentas aprovechando fallos de la red», en este caso la conocida como SS7. Las brechas de seguridad en esa red hacen factible que un atacante se haga pasar por un usuario y consiga sin demasiados problemas el código de verificación de WhatsApp, pudiendo así «secuestrar» la cuenta ajena. La situación es muy peliaguda: «al tratarse de un fallo de red, y no de la aplicación en sí misma, no existe una forma directa de resolver estos fallos de seguridad». Igualmente preocupante para el CCN es el «borrado inseguro de las conversaciones». El documento avisa que el uso de «técnicas forenses» hace inútil el borrado clásico de los mensajes, porque éstos continúan en la memoria del móvil hasta que son sobre-escritos y porque, tanto en Iphone como en Android, los textos quedan registrados, al hacerse las copias de seguridad. Los espías avisan que solo desinstalar la aplicación y borrar las copias de seguridad harán que desaparezcan las conversaciones.

Los responsables de la ciberseguridad nacional se muestran inquietos también con la facilidad con que se puede «difundir» a extraños «información sensible durante la conexión inicial». Las nuevas codificaciones de estos datos -afirma el informe- no han comportado una «mejora sustancial de seguridad», que sigue siendo muy vulnerable a cualquier experto con una aplicación para desencriptarlas.