Quantcast
Diario Siglo XXI. Periódico digital independiente, plural y abierto. Noticias y opinión
Viajes y Lugares Display Tienda Diseño Grupo Versión móvil

    
Nacional

El CNI alerta del riesgo de secuestros de “30 minutos” del WhatsApp para robar información

Agencias
@DiarioSigloXXI
domingo, 23 de octubre de 2016, 10:17 h (CET)
MADRID, 23 (SERVIMEDIA)



El Centro Nacional de Inteligencia (CNI) ha advertido, a través del informe de un organismo adjunto, sobre la posibilidad de que se produzcan secuestros de “30 minutos” de las cuentas de WhatsApp, tiempo durante el que el titular de la cuenta no podría impedir que un tercero accediese a su información.

El CNI hace esta advertencia a través de un informe elaborado por el Centro Criptológico Nacional (CCN) y mediante su sección de Capacidad de Respuesta a incidentes de Seguridad de la Información (CCN-CERT).

En concreto, el CCN ha elaborado el llamado ‘Informe de Amenazas CCN-CERT IA-21/16. Riesgos de uso de WhatsApp’, en el que se analizan los riesgos asociados al uso de este sistema de mensajería.

En este informe, recogido por Servimedia, se explica que “desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación".

A este respecto, los expertos criptográficos exponen, a lo largo de una veintena de páginas, los riesgos de que se produzcan fugas de información en una cuenta de WhatsApp por varias vías. Algunas son el “proceso de alta y verificación de los usuarios”, el borrado de conversaciones o el “robo de cuentas mediante llamada y acceso físico”.

DIFICULTAD DE EVITARLO

Respecto a este último punto, se asegura que “es posible secuestrar una sesión de WhatsApp utilizando la opción de verificación por llamada telefónica”.

En concreto, se explica que “si el método para ocultar las notificaciones de SMS se encuentra activo, el atacante sólo deberá tener físicamente el teléfono durante cinco minutos para poder acceder a la verificación por llamada, descolgar y obtener el código de verificación”.

“El problema de esta fórmula de ataque reside en la dificultad para evitarlo”, se afirma en el informe, “debido a que no existe una opción, tanto para Android como para iPhone, que fuerce al usuario a desbloquear el terminal para poder responder a una llamada, por lo que un atacante con acceso físico siempre podrá responder y completar el ataque”.

En este sentido, se destaca que “cuando la víctima quiera recuperar el control de su cuenta, deberá esperar, al menos, 30 minutos como plazo de seguridad por la aplicación para obtener un código de verificación nuevo, por lo que durante este periodo de tiempo no existirá forma posible de evitar el secuestro y manipulación de la sesión por parte del atacante”.

El CCN señala que, por el momento, la “única contramedida” sería “recopilar los diferentes números de teléfono utilizados por la aplicación para realizar estas llamadas de verificación y bloquearlos desde el terminal para no poder realizar la activación utilizando este mecanismo”.

Comentarios
Escribe tu opinión
Comentario (máx. 1.000 caracteres)*
   (*) Obligatorio
 
Quiénes somos  |   Sobre nosotros  |   Contacto  |   Aviso legal  |   Suscríbete a nuestra RSS Síguenos en Linkedin Síguenos en Facebook Síguenos en Twitter Síguenos en Google Plus    |  
© Diario Siglo XXI. Periódico digital independiente, plural y abierto | Director: Guillermo Peris Peris