Calma, esta no es una noticia para echar pestes de las políticas de privacidad de WhatsAp y Meta: hoy venimos a valorar una vulnerabilidad, tanto de la app de mensajería de Zuckerberg como de Signal o Threema, por la que es posible triangular la ubicación de alguien con un ataque combinado. Lo leemos en Restoreprivacy.
Verás, cuando envías un mensaje a alguien en WhatsApp, Signal o Threema, hay un sistema por defecto para saber si se ha enviado, recibido y leído (a menos que el receptor o la receptora tenga el check azul deshabilitado):
Si te fijas, en el caso de este ejemplo no aparece la hora de lectura justamente porque la cuenta usada tiene desactivada la función del check azul. Más abajo hablaremos de esta ventaja... De cualquier manera, este comportamiento es la base para obtener la ubicación de alguien como si de un GPS se tratara.
¿Cómo se puede ubicar a alguien con tan solo un mensaje?
Para empezar, y antes de hablar de cómo protegerse más abajo, cálmate porque en este caso hablamos de un hallazgo realizado por unos investigadores, y no un caso de ataques o hackeos masivos específicos... aunque no descartamos que este método ya se use con fines de espionaje o pura guerra informática.
Para ubicar a alguien con mensajes, se explota el sistema de validación en tanto en cuanto las distintas fases de la emisión y la recepción presentan un desfase. Es decir, que cuando enviamos un mensaje, WhatsApp y las otras aplicaciones tardan en mostrar el acuse de recibo, y eso es reflejo de la distancia entre el emisor y el receptor.
Un equipo de investigadores ha descubierto que es posible inferir las ubicaciones de los usuarios de aplicaciones populares de mensajería instantánea, con una precisión de hasta el 80%, mediante la realización de un ataque sincronizado. La clave es medir el tiempo que tarda el atacante en recibir la notificación del estado de entrega del mensaje enviado al objetivo.
Lo preocupante, aparte, es que no es necesario abrir la aplicación para que esta registre la recepción, por lo que el ataque, sobre el papel, es funcional. Lo que es más, si tan solo tres atacantes enviaran sus respectivos mensajes a la vez, el resultado sería muchísimo más preciso, como un GPS triangulando una posición.
¿Cómo protegerse de un ataque así?
Repetimos que es un método muy poco conocido, y raro sería que alguien tratara de encontrarte de esta forma (por desgracia deben de existir formas más efectivas y truculentas), pero la clave sería desactivar la opción que muestra los iconos de confirmación de envío, recepción y lectura. Aparte de aportarte más paz mental en algunas situaciones vitales, te permitirá evitar esta clase de triquiñuelas de espías.
Sí que es cierto, por parte de WhatsApp, Signal y Threema, que con solo aleatorizar estos registros ligeramente se lograría erradicar esta vulnerabilidad sin empeorar el servicio a los usuarios integralmente.
Imagen | Waldemar Brandt en Unsplash
Ver 3 comentarios