Autenticación por SMS: un riesgo para tus chats de WhatsApp y Telegram

mensajes en iphone
La autenticación por SMS de las principales aplicaciones de mensajería es una puerta abierta a que los gobiernos puedan interceptar tus conversaciones. Esto reabre el debate entre seguridad y experiencia de uso

La existencia de aplicaciones de mensajería con componentes enfocados a la privacidad ya no es algo nuevo. Cuando BlackBerry era la reina de la industria de los smartphones su BlackBerry Messenger era considerado de los más seguros, sobre todo teniendo en cuenta el gran número de clientes corporativos que tenían. WhatsApp hasta hace no mucho no incorporaba esto componentes seguros, si bien hace poco que empezaron a incluir cifrado entre puntos. Por otra parte, Telegram hace tiempo que abandera la causa de la privacidad de las comunicaciones dentro de la industria móvil. Su creador Pavel Durov ha recibido duras críticas por este modelo, pero el también fundador de la red social VKontate cree que es el camino a seguir.

Ahora bien, muchas de estas aplicaciones supuestamente seguras podrían ser más débiles de lo que pensamos. Una gran parte de ellas sigue usando el sistema de autenticación a través de un mensaje SMS, lo que tiene ciertas limitaciones en términos de seguridad si no se usa de forma correcta. Al menos eso es lo que se recoge en Maikel.pro/blog/.

WhatsApp y Threema en un iPhoneWhatsApp y Threema en un iPhone

¿Por qué se usa el proceso de autenticación por SMS? Tomemos como ejemplo dos aplicaciones que casi todo el mundo usa, WhatsApp y Telegram. Ambas hacen uso de tu número de teléfono como identificador. La razón principal de esto es muy simple: saber que eres el propietario legítimo del número. De esta forma usan tu número para enviarte un código PIN a través de un SMS con el que te identificas en la app.

¿Por qué la autenticación por SMS no es segura?

Los usuarios malintencionados suponen una gran amenaza para la experiencia de usuario, lo que resulta vital para el servicio. A continuación vamos a repasar las principales debilidades de los dos grandes clientes de mensajería móvil que tienen que ver con la autenticación mediante mensajes SMS.

Telegram no es tan seguro como cuentan

Telegram en un lanzador de aplicacionesTelegram en un lanzador de aplicaciones

Telegram se anuncia como una aplicación de mensajería "segura" al mismo tiempo que ofrece conversaciones "normales" y "secretas". Todos los chats se guardan en los servidores de la empresa, de forma que se puede usar en distintas plataformas (en tu móvil, tu tablet o un ordenador) sin necesidad de llevar el teléfono encima.

Todo esto sobre el papel suena genial, pero el quid de la cuestión está en que el usuario confirma su identidad con un SMS sea cual sea la plataforma. Esto supone una debilidad en el proceso de autenticación, y permite que terceras personas como agencias gubernamentales puedan configurar estaciones con las que capturar el tráfico de los SMS. También podrían solicitar a un proveedor de servicios de Internet que filtren ciertos mensajes sin que el usuario lo llegue a saber.

Esto significa que cualquiera podría confirmar su identidad como propietario del número de teléfono y después acceder a todo el historial de conversaciones de Telegram, a excepción de los chats secretos que requieran una clave.

Tal y como Telegram hace cada vez que un nuevo dispositivo se vincula a su servicio, notificará al propietario del teléfono de que hay un nuevo inicio de sesión, pero ya será demasiado tarde. Los gobiernos de Irán y Rusia ya han usado esta característica para censurar comunicaciones entre activistas, según se recoge.

WhatsApp aumenta su seguridad, pero no es bastante

WhatsApp en un iPhoneWhatsApp en un iPhone

WhatsApp no depende tanto de un número de teléfono para autenticar al usuario como lo hace Telegram. De hecho sólo lo usa una vez, ya que la aplicación no es multidispositivo. Después de que confirme tu identidad como propietario del número de teléfono compartirá con tigo la próxima vez que entres a WhatsApp. La app tampoco guarda los mensajes que escribes una vez se entregan, lo que limita la superficie de posibles ataques. Eso no quiere decir que no exista.

WhatsApp permite reactivar la cuenta si cambias de teléfono siguiendo de nuevo el proceso de enviarte un SMS para verificar tu identidad y después compartir una clave contigo. Después de que tengas la nueva borrará la anterior, que no se podrá volver a usar. Cuando se haya acabado el registro del nuevo cliente, este sube 200 claves públicas para otros que usen el cifrado entre puntos contigo.

Ya dijimos antes que las agencias gubernamentales pueden interceptar el tráfico de los SMS y los mensajes de voz de un número concreto. Esto significa que podrían reactivar cualquier cuenta de WhatsApp sin que tú lo sepas, aunque para esto tendrían que bloquear el acceso a los mensajes cortos y a Internet de tu teléfono. Una vez lo hayan hecho, los agentes podrían recuperar mensajes que iban destinados al usuario y estarían igualmente cifrados. Todo esto mediante los llamados ataques Man-in-The-Middle.

El usuario cuya cuenta ha sido secuestrada no sabría nada de nada hasta que se le presentase la pantalla de reactivación de WhatsApp.

¿Se debe aumentar la seguridad o mejorar la experiencia de usuario?

Según se ha publicado, hoy en día sería más seguro usar nombres de usuario y contraseñas en lugar de mensajes SMS dirigidos a un número de teléfono. Sin embargo, esto rompería la accesibilidad para una buena parte de los usuarios. La idea de una "buena" app de mensajería está basada en que el acceso a todo el mundo debe ser fácil para que las comunicaciones sean mejores.

Las técnicas de seguridad elegidas por los desarrolladores pueden ser mejores o peores, pero si no se educa al usuario en cómo proteger su propia privacidad no sirven de nada.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?