Clicky

WhatsApp y Telegram exponen a miles de millones de usuarios a ataques a la privacidad

Mensajeros móviles

Se recomienda a todos los usuarios de aplicaciones de mensajería que revisen su configuración de privacidad

Los más populares mensajeros móviles exponen datos personales a través de servicios de descubrimiento que permiten a los usuarios encontrar contactos en función de los números de teléfono de su libreta de direcciones, según los investigadores.

Al instalar un mensajero móvil como WhatsApp, los nuevos usuarios pueden comenzar a enviar mensajes de texto instantáneamente a los contactos existentes en función de los números de teléfono almacenados en su dispositivo. Para que esto suceda, los usuarios deben otorgar permiso a la aplicación para acceder y cargar regularmente su libreta de direcciones en los servidores de la empresa en un proceso llamado descubrimiento de contactos móviles.

Un reciente estudio de un equipo de investigadores del Grupo de Sistemas de Software Seguro de la Universidad de Würzburg y el Grupo de Ingeniería de Criptografía y Privacidad de TU Darmstadt muestra que los servicios de descubrimiento de contactos actualmente implementados amenazan gravemente la privacidad de miles de millones de usuarios.

Utilizando muy pocos recursos, los investigadores pudieron realizar ataques prácticos de rastreo en los populares mensajeros WhatsApp, Signal y Telegram. Los resultados de los experimentos demuestran que usuarios malintencionados o piratas informáticos pueden recopilar datos confidenciales a gran escala y sin restricciones notables al consultar los servicios de detección de contactos para obtener números de teléfono aleatorios.

Los atacantes pueden crear precisos modelos de comportamiento

Para el extenso estudio, los investigadores consultaron el 10% de todos los números de teléfonos móviles de EE. UU. para WhatsApp y el 100% para Signal. De ese modo, pudieron recopilar (meta) datos personales comúnmente almacenados en los perfiles de usuario de los mensajeros, incluidas las imágenes de perfil, los apodos, los textos de estado y el tiempo de la "última conexión".

Los datos analizados también revelan interesantes estadísticas sobre el comportamiento de los usuarios. Por ejemplo, muy pocos usuarios cambian la configuración de privacidad predeterminada, que para la mayoría de los mensajeros no es nada amigable con la privacidad.

Los investigadores encontraron que aproximadamente el 50% de los usuarios de WhatsApp en los EE. UU. tienen una imagen de perfil público y el 90% un texto público de "Acerca de". Curiosamente, el 40% de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también están usando WhatsApp, y todos los demás usuarios de Signal tienen una imagen de perfil público en WhatsApp.

El seguimiento de estos datos a lo largo del tiempo permite a los atacantes crear precisos modelos de comportamiento. Cuando los datos se comparan a través de redes sociales y fuentes de datos públicas, los terceros también pueden crear perfiles detallados, por ejemplo, para estafar a los usuarios.

Para Telegram, los investigadores encontraron que su servicio de descubrimiento de contactos expone información confidencial incluso sobre los propietarios de números de teléfono que no están registrados en el servicio.

La información que se revela durante el descubrimiento de contactos y se puede recopilar mediante ataques de rastreo depende del proveedor de servicios y de la configuración de privacidad del usuario. WhatsApp y Telegram, por ejemplo, transmiten a sus servidores la libreta de direcciones completa del usuario.

Los mensajeros más preocupados por la privacidad, como Signal, transfieren solo valores hash criptográficos cortos de números de teléfono o dependen de hardware confiable. Sin embargo, el equipo de investigación muestra que con estrategias de ataque nuevas y optimizadas, la baja entropía de los números de teléfono permite a los atacantes deducir en milisegundos los números de teléfono correspondientes de los hashes criptográficos.

Además, dado que no existen restricciones notables para registrarse en los servicios de mensajería, cualquier tercero puede crear una gran cantidad de cuentas para rastrear la base de datos de usuarios de un mensajero en busca de información solicitando datos para números de teléfono aleatorios.

"Recomendamos encarecidamente a todos los usuarios de aplicaciones de mensajería que revisen su configuración de privacidad. Esta es actualmente la protección más eficaz contra nuestros ataques de rastreo investigados", coinciden la profesora Alexandra Dmitrienko (Universidad de Würzburg) y el profesor Thomas Schneider (TU Darmstadt).

Impacto de los resultados de la investigación: los proveedores de servicios mejoran sus medidas de seguridad

El equipo de investigación informó sus hallazgos a los respectivos proveedores de servicios. Como resultado, WhatsApp ha mejorado sus mecanismos de protección de manera que se pueden detectar ataques a gran escala, y Signal ha reducido el número de posibles consultas para complicar el rastreo.

Los investigadores también propusieron muchas otras técnicas de mitigación, incluido un nuevo método de descubrimiento de contactos que podría adoptarse para reducir aún más la eficiencia de los ataques sin afectar negativamente la usabilidad.

Informe: All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers∗[PDF]

Jesus_Caceres