La empresa Heise Security ha realizado varias pruebas en distintas ocasiones a la aplicación WhatsApp, y una vez más confirman que los mensajes enviados a través de la aplicación podrían ser obtenidos de manera muy sencilla usando herramientas de distribución libre. Así que no podemos decir otra cosa que cualquier persona que utilice WhatsApp desde una conexión Wi-Fi pública, corre el riesgo de que sus datos puedan ser obtenidos y de que su cuenta pueda ser usada para recibir y enviar mensajes.

La pasada semana se comprobó la falta de seguridad en la autenticación de WhatsApp. Se ha descubierto que el cliente usa una contraseña generada internamente para iniciar sesión con el servidor, la cual se genera en dispositivos Android a partir del número de serie del Smartphone (IMEI) y en los dispositivos iOS con la dirección MAC del Wi-Fi. Esta información es totalmente secreta.

El problema está en que hacer sniffing con estos datos es muy sencillo cuando se trata de dispositivos que ejecutan iOS porque la dirección MAC es visible para cualquiera dentro del alcance de la red Wi-Fi. En el caso de un Wi-Fi público, se podría llegar a determinar el número de teléfono del usuario desde los paquetes de datos que se transfieren mediante WhatsApp.

Además, en las pruebas que realizó Heise Security, se descubrió que con la ayuda de WhatsAPI, que se basa en PHP, se puede llegar a controlar la cuenta de usuario de WhatsApp desde Android y desde iOS. Lo único que deben hacer los ciberdelincuentes es introducir el número de teléfono y la dirección IMEI o MAC en un script, de esta manera, tienen la posibilidad de enviar mensajes desde dicha cuenta. Quien envía los mensajes aparece como el usuario comprometido.

Además también hay sospechas de que WhatsApp tiene algunos problemas en el diseño del algoritmo que usa para generar las claves de cifrado de sus mensajes. Algunas fuentes anónimas aseguran que por lo menos en la versión iOS, se pueden determinar las claves de manera muy sencilla.