Dadas las numerosas solicitudes que he recibido al respecto, hoy vuelvo a tratar un tema que ya me he ocupado en varias ocasiones en el pasado: como espiar whatsapp android. No, no se preocupe, no quiero fomentar actividades ilegales como monitorear las comunicaciones electrónicas. Lejos de ahi. Con el tutorial de hoy quiero analizar algunas técnicas adoptadas por los ciberdelincuentes para capturar nuestras conversaciones en WhatsApp y quiero que descubras todas las "armas" que tenemos a nuestra disposición para defendernos.
Afortunadamente, la situación no es tan dramática como algunos quieren que parezca. En Android, WhatsApp utiliza una técnica de cifrado con nombre de extremo a extremo que hace que los mensajes solo sean visibles para sus respectivos remitentes y destinatarios. Los chats llegan en forma encriptada incluso a los servidores del servicio y es difícil para un atacante "capturarlos" con actividades como rastrear redes inalámbricas (a menos que exista una falla en la implementación del sistema de encriptación, no podemos saber esto ). En cualquier caso, ¡está prohibido bajar la guardia!
Existen técnicas, si queremos menos refinadas pero igualmente muy peligrosas, que te permiten robar la identidad de una persona en WhatsApp accediendo físicamente a su teléfono inteligente. Veamos cuáles son y equipémonos para evitar que alguien los ponga en práctica en nuestros teléfonos móviles.
Espiar WhatsApp Android con WhatsApp Web
web WhatsApp, como seguramente sabrás, es una función de WhatsApp que te permite acceder al servicio a través de la Web. Funciona en cualquier ordenador y es compatible con muchos navegadores diferentes: Chrome, Firefox, Opera y Safari (con funciones limitadas, como yo también tengo te lo expliqué en mi publicación sobre WhatsApp para PC).
Usarlo es realmente simple: solo conéctese al sitio web.whatsapp.com, escanea el código QR que aparece en la pantalla del PC con la cámara del smartphone y listo. Entonces, ¿qué tiene de peligroso todo esto?
Los riesgos para nuestra privacidad provienen del hecho de que WhatsApp Web es capaz de almacenar la identidad del usuario (solo ponga la marca de verificación en la opción Mantente conectado para acceder al servicio sin tener que escanear el código QR) y el hecho de que no se requiere que el teléfono inteligente esté en la misma red Wi-Fi que la PC. WhatsApp Web funciona solo si el teléfono inteligente en el que está instalado WhatsApp está encendido y conectado a Internet, pero la conexión se puede realizar a través de cualquier red inalámbrica o incluso a través de la red de datos 3G / LTE, los dos dispositivos no necesariamente tienen que ser en el mismo cuarto.
Esto significa que un atacante podría robar su teléfono inteligente con una excusa (por ejemplo, la necesidad de hacer una llamada urgente), usarlo para acceder a WhatsApp Web y mantener el acceso a sus conversaciones durante varios días.
Cómo defenderse: Para defenderse de este tipo de amenazas, debe practicar algo de sentido común, por lo que, por ejemplo, no tiene que prestar su teléfono inteligente a extraños y no tiene que dejarlo desatendido en lugares públicos.
Una solución eficaz para defenderse de personas malintencionadas es, sin duda, activar un sistema de protección en su dispositivo mediante reconocimiento biométrico (desbloqueo con el rostro o utilizando la huella dactilar, por ejemplo). En este caso específico, de hecho, para confirmar el acceso a web WhatsApp/Desktop Se requiere la autorización del propietario del dispositivo. De lo contrario, se denegará la conexión al servicio.
Finalmente, puedes ir al menú. Chat> […]> WhatsApp Web de WhatsApp y verifique todas las sesiones web activas de WhatsApp en su cuenta. Si detecta alguna actividad sospechosa, presione el botón Cerrar sesión en todas las computadoras y todas las PC conectadas a su cuenta perderán el acceso (deberá volver a escanear el código QR con su teléfono móvil para acceder a WhatsApp Web).
Clonar WhatsApp
Otra de las técnicas que utilizan los ciberdelincuentes para espiar WhatsApp Android consiste en clonar la dirección MAC del teléfono de la víctima, instalar WhatsApp y robar la identidad de la persona a la que se va a espiar. Este es un procedimiento muy elaborado, bastante largo de poner en práctica, pero aún muy peligroso.
La dirección MAC, si nunca ha oído hablar de ella, es un código de 12 dígitos que le permite identificar de forma única todos los dispositivos capaces de conectarse a Internet. WhatsApp también lo usa, junto con el número de teléfono, para verificar la identidad de sus usuarios ... y aquí es donde los ciberdelincuentes pueden tenerlo en sus manos.
Hay aplicaciones, como BusyBox e Dirección Mac fantasma, que permiten disfrazar la dirección MAC de los teléfonos inteligentes Android (solo aquellos previamente sometidos al procedimiento de root) haciéndola parecer a la de otro teléfono.
Este "truco" puede permitir a un atacante clonar la dirección MAC de un teléfono (el smartphone de la persona a la que va a espiar), instalar una nueva copia de WhatsApp, activarla con el número de la víctima y así obtener acceso completo a todas sus conversaciones. .
Cómo defenderse: este tipo de ataque, como el que vimos anteriormente, requiere acceso físico al teléfono inteligente de la víctima. Esto significa que puedes evitarlo no dejando tu teléfono a merced de extraños y aplicando algunas medidas básicas de protección.
Uno de estos es definitivamente eluso de un PIN seguro para evitar el acceso no autorizado al teléfono inteligente (por otro lado, para ver la dirección MAC del teléfono móvil, simplemente vaya al menú de configuración, ¡no debe ser un pirata informático!). Si aún no lo ha hecho, configure un PIN seguro en su Android yendo al menú Configuración> Seguridad> Bloqueo de pantalla y seleccionando el artículo PIN de este último. Alternativamente, también puede seleccionar el elemento por ejemplo. y use un gesto (es decir, un "dibujo" para hacer con el dedo en la pantalla del teléfono) en lugar del código numérico.
Otro consejo que tengo ganas de darte es el de prohibir la visualización de SMS en la pantalla de bloqueo de Android (de esta manera, incluso los SMS con el código de verificación de WhatsApp no pueden ser vistos por personas malintencionadas). Para hacer esto, vaya al menú Configuración> Seguridad> Bloqueo de pantalla de Android, establezca un PIN o un por ejemplo. y elige ocultar contenido sensible.
Aplicaciones espía
Como también te expliqué en mi tutorial sobre cómo espiar teléfonos Android, la Google Play Store está llena de aplicaciones para control parental y ubicación remota de teléfonos inteligentes que, si se configuran correctamente, pueden permitir que un atacante espíe un teléfono desde un distancia, capturando todo, lo que se escribe en su teclado y lo que sucede en su pantalla.
Cómo defenderse: Incluso las aplicaciones espía necesitan acceso físico al teléfono para poder instalarse, por lo que se aplican todos los consejos que le di antes. También puedes intentar acceder al menú. Configuración> Aplicaciones> Todas de Android y ver si hay algún nombre "sospechoso" entre las aplicaciones instaladas en el teléfono.
Desafortunadamente, la ausencia de nombres "sospechosos" en los menús de Android no disipa completamente la duda sobre la presencia de aplicaciones espías en el teléfono móvil. Este tipo de aplicación, de hecho, tiene la capacidad de ocultarse de todos los menús del sistema y para deshacerse de ella primero debe desbloquearlas ingresando las contraseñas apropiadas.
La persona espiada, obviamente, no conoce estas contraseñas y, por lo tanto, puede deshacerse de la aplicación espía solo formateando su dispositivo. Si tienes este tipo de sospechas pero no has encontrado nombres "extraños" en el menú de Android, intenta resetear Android siguiendo mi tutorial sobre el tema y deberías solucionar el problema.
Olfateo inalámbrico
WhatsApp para Android, como se indicó al principio de esta publicación, utiliza un sistema de cifrado de extremo a extremo llamado TextSecure. Este sistema se basa en el uso de dos claves: una clave pública que se comparte con nuestro interlocutor y sirve para cifrar los mensajes salientes y una clave pública que en cambio reside solo en nuestro teléfono inteligente y nos permite descifrar los mensajes entrantes.
Con el cifrado de extremo a extremo, se minimiza el riesgo asociado con el monitoreo de redes inalámbricas (el llamado rastreo inalámbrico), ya que toda la información circula en forma cifrada pero… hay un pero.
WhatsApp es una aplicación de código cerrado, no podemos analizar a fondo su código fuente, por lo que no podemos saber si el cifrado se aplica siempre, si en algunos países se desactiva a petición de los gobiernos locales o si su implementación se ha hecho a norma de Arte. No hace falta decir que un simple error en el uso de esta tecnología haría que la aplicación volviera a ser vulnerable y disminuiría enormemente la seguridad de nuestras conversaciones.
Una primera llamada de atención sobre la seguridad del cifrado de extremo a extremo en WhatsApp se produjo en abril de 2015, cuando un equipo de investigadores alemanes descubrió que solo las comunicaciones Android> Android estaban protegidas con cifrado TextSecure. En otras circunstancias, la aplicación utilizó una tecnología basada en el algoritmo RC4 que ya no se considera impenetrable y es mucho más fácil de decodificar para los ciberdelincuentes.
La situación debería mejorarse ahora. Los desarrolladores del sistema de encriptación de WhatsApp se han asegurado que la encriptación de extremo a extremo llegará gradualmente a todas las plataformas, pero lo desconocido es la imposibilidad de verificar el código de WhatsApp. No podemos saber si y qué tipos de comunicaciones están realmente encriptadas. Debemos "confiar".
Cómo defenderse: Si el cifrado de un extremo a otro no funciona, desafortunadamente, los usuarios no podemos hacer nada. El único consejo que puedo darte es que evites las conexiones Wi-Fi públicas, que se sabe que son el coto de caza favorito de los ciberdelincuentes. Por lo demás, si no confías en WhatsApp, deja de usarlo y contacta con otra aplicación de mensajería con cifrado de extremo a extremo, posiblemente de código abierto (para tener más garantías sobre el funcionamiento del cifrado).
