Los servicios de mensajería más populares, como WhatsApp y Telegram son extremadamente inseguros.

WhatsApp, Signal & Co: Miles de millones de usuarios vulnerables a los ataques a la privacidad.

Investigadores de la Universidad Técnica de Darmstadt y de la Universidad de Würzburg demuestran que los mensajeros móviles más populares exponen los datos personales a través de servicios de descubrimiento que permiten a los usuarios encontrar contactos basados en números de teléfono de su libreta de direcciones.

Al instalar un mensajero móvil como WhatsApp, los nuevos usuarios pueden empezar a enviar instantáneamente mensajes de texto a los contactos existentes basándose en los números de teléfono almacenados en su dispositivo. Para ello, los usuarios deben conceder a la aplicación permiso para acceder y subir regularmente su libreta de direcciones a los servidores de la empresa en un proceso llamado descubrimiento de contactos móviles. Un estudio reciente realizado por un equipo de investigadores del Grupo de Sistemas de Software Seguro de la Universidad de Würzburg y del Grupo de Ingeniería de Criptografía y Privacidad de la Universidad Técnica de Darmstadt muestra que los servicios de descubrimiento de contactos actualmente desplegados amenazan gravemente la privacidad de miles de millones de usuarios. Utilizando muy pocos recursos, los investigadores pudieron realizar prácticos ataques de rastreo a los populares mensajeros WhatsApp, Signal y Telegram. Los resultados de los experimentos demuestran que los usuarios malintencionados o los hackers pueden recopilar datos confidenciales a gran escala y sin restricciones dignas de mención consultando los servicios de descubrimiento de contactos para obtener números de teléfono aleatorios.

Los atacantes pueden construir modelos de comportamiento precisos

Para el extenso estudio, los investigadores consultaron el 10% de todos los números de teléfono móvil de EE.UU. para WhatsApp y el 100% para Signal. De este modo, pudieron recopilar datos personales (meta) comúnmente almacenados en los perfiles de usuario de los mensajeros, incluyendo fotos de perfil, apodos, textos de estado y la hora de “última conexión”. Los datos analizados también revelan estadísticas interesantes sobre el comportamiento de los usuarios. Por ejemplo, muy pocos usuarios cambian la configuración de privacidad predeterminada, que para la mayoría de los mensajeros no es nada fácil de usar. Los investigadores encontraron que alrededor del 50% de los usuarios de WhatsApp en los EE.UU. tienen una foto de perfil público y el 90% un texto público “Acerca de”. Curiosamente, el 40% de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también utilizan WhatsApp, y todos los demás usuarios de Signal tienen una foto de perfil público en WhatsApp. El seguimiento de estos datos a lo largo del tiempo permite a los atacantes crear modelos de comportamiento precisos. Cuando los datos se comparan en las redes sociales y las fuentes de datos públicas, los terceros también pueden crear perfiles detallados, por ejemplo para estafar a los usuarios. En el caso de Telegram, los investigadores descubrieron que su servicio de descubrimiento de contactos expone información confidencial incluso sobre los propietarios de números de teléfono que no están registrados en el servicio.

La información que se revela durante la detección de contactos y que puede recopilarse mediante ataques de rastreo depende del proveedor de servicios y de la configuración de la privacidad del usuario. WhatsApp y Telegram, por ejemplo, transmiten toda la libreta de direcciones del usuario a sus servidores. Los mensajeros más preocupados por la privacidad, como Signal, sólo transfieren valores de hash criptográficos cortos de números de teléfono o dependen de hardware de confianza. Sin embargo, el equipo de investigación muestra que con las nuevas y optimizadas estrategias de ataque, la baja entropía de los números de teléfono permite a los atacantes deducir los números de teléfono correspondientes a partir de los hashes criptográficos en milisegundos. Además, como no hay restricciones dignas de mención para suscribirse a los servicios de mensajería, cualquier tercero puede crear un gran número de cuentas para rastrear la base de datos de usuarios de un mensajero en busca de información, solicitando datos para números de teléfono aleatorios. “Recomendamos encarecidamente a todos los usuarios de aplicaciones de mensajería que revisen sus configuraciones de privacidad. Esta es actualmente la protección más efectiva contra nuestros investigados ataques de rastreo”, coinciden la Prof. Alexandra Dmitrienko (Universidad de Würzburg) y el Prof. Thomas Schneider (Universidad Técnica de Darmstadt).

Impacto de los resultados de la investigación: los proveedores de servicios mejoran sus medidas de seguridad

El equipo de investigación comunicó sus conclusiones a los respectivos proveedores de servicios. Como resultado, WhatsApp ha mejorado sus mecanismos de protección de forma que se puedan detectar los ataques a gran escala, y Signal ha reducido el número de posibles consultas para complicar el rastreo. Los investigadores también propusieron muchas otras técnicas de mitigación, incluyendo un nuevo método de descubrimiento de contactos que podría adoptarse para reducir aún más la eficiencia de los ataques sin afectar negativamente a la usabilidad.

Todos los resultados se describen en el documento “All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers”, de Christoph Hagen, Christian Weinert, Christoph Sendner, Alexandra Dmitrienko, Thomas Schneider, que será presentado en febrero de 2021 en el 28. Simposio Anual de Seguridad de Redes y Sistemas Distribuidos (NDSS), una conferencia de alto nivel para la seguridad de la tecnología de la información.