Estos días ha estado circulando una noticia alertando de una supuesta vulnerabilidad que afecta a WhatsApp. Dicho fallo de seguridad permitiría, nada más ni nada menos que «otras personas puedan leer tus mensajes privados». Así lo han anunciado muchos titulares, creando una sensación de alarma que está alejada de la realidad.
Si bien es cierto que la aplicación ha tenido sus más y sus menos con esto de la ciberseguridad, no es cierto que un fallo de esta app permita a nadie leer los mensajes. Así lo explica Pablo San Emeterio, experto en ciberseguridad y autor del blog psaneme.com
El supuesto fallo, según se ha dado a conocer inicialmente, consiste en que WhatsApp estaría exponiendo los chats privados al cambiar el número de teléfono móvil.
El experto ha tratado de tranquilizar a los usuarios explicando en este post con todo lujo de detalles lo que ha ocurrido en realidad. «Se ha tomado el funcionamiento habitual de la aplicación como un fallo de seguridad», explica, lamentando que es algo que se hace demasiado a menudo.
Todo comenzó con la publicación de un post en Twitter por parte de Abby Fuller, una trabajadora de Amazon. En ese tweet aseguraba que había iniciado sesión en la aplicación de mensajería con un nuevo número, y al acceder al historial de conversaciones de WhatsApp, le aparecieron mensajes y grupos que claramente eran de otro usuario.
logged into whatsapp with a new phone number today and the message history from the previous number's owner was right there?! this doesn't seem right.
— Abby Fuller (@abbyfuller) January 11, 2019
Sin embargo el experto apunta que lo ocurrido a la empleada de Amazon «tiene más que ver con el comportamiento normal de WhatsApp», apunta San Emeterio.
En la aplicación de mensajería, cada cuenta está vinculada a un número de teléfono, por lo que si no se borra la cuenta, la app pensará que se trata del mismo usuario usando otro dispositivo, y mostrará la información almacenada en su sistema asociada a ese usuario.
Conocer cómo funcionan las aplicaciones de mensajería
En este sentido, recalca que en todas las aplicaciones de mensajería instantánea, cuando se envía un mensaje a otro usuario, «este nunca es enviado directamente al destinatario, aunque pueda parecerlo», señala San Emeterio.
En su lugar, estos mensajes son enviados a un servidor, que es al que su vez lo envía al destinatario final. Esta forma de funcionar tiene sentido porque así «no se depende de que los dos usuarios estén conectados a la vez al sistema de mensajería», explica el experto, poniendo como ejemplo esos momentos en los que los dispositivos no están conectados a internet, como puede ser durante un vuelo o cuando están apagados.
«Si una persona no se conecta al servicio durante unos días, el servicio de WhatsApp almacena todos los mensajes que reciba hasta que se vuelva a conectar y por un periodo máximo de 45 días», insiste San Emeterio.
Por otro lado, señala la necesidad de los operadores de reciclar números de teléfono, asignándolos a nuevos usuarios debido a la alta demanda que existe en la actualidad.
Sumando estas variables, esto es lo que probablemente le pasó a Abby Fuller, señala San Emeterio. «A Abby le han debido asignar un numero que previamente estuvo asignado a otra persona y al registrarlo en WhatsApp le empezaron a llegar los mensajes del anterior usuario», explica.
No es la primera vez
San Emeterio recuerda que este caso es muy parecido a otro que se hizo viral hace un par de años, en el que también se alertaba sobre un fallo de seguridad que no era tal cosa. «Eso me motivó a hacer un estudio comparando el funcionamiento de las distintas aplicaciones de mensajería cuando se reinstalan en otro dispositivo».
El estudio, que se puede consultar aquí, se hizo muy popular ya que compara las características de seguridad de las aplicaciones de mensajería más populares. Del estudio se extrae que solamente WhatsApp y Facebook Messenger (ambas propiedad de Facebook) reenvían los mensajes almacenados en el servidor si reinstalamos la aplicación en otro teléfono.
San Emeterio, especialista en seguridad en dispositivos móviles, ha liderado diversas investigaciones que le han llevado a dar ponencias en algunos de los congresos de hacking más importantes del mundo.