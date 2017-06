Cuando una aplicación de mensajería es utilizada cada día por más de mil millones de personas en todo el mundo, es inevitable que se coloque en el punto de mira de hackers y curiosos. Todos hemos pensado alguna vez en lo útil que sería para nuestro propio beneficio poder leer las conversaciones de otras personas. Ya se ha dicho siempre: la información es poder. Facebook compró WhatsApp por 21.800 millones de dólares en 2014 y se encontró con una aplicación que a nivel de seguridad dejaba mucho que desear. Por lo tanto, debían tomar cartas en el asunto y pensar en los millones de personas que lo utilizaban a diario. No fueron precisamente pocas las críticas que recibió hasta ese momento por el lamentable sistema de seguridad del que disponía.

En aquel entonces y hoy en día, no es raro encontrar múltiples programas, aplicaciones o webs que nos prometen acceder a la cuenta de otra persona y leer todos sus mensajes. Por lo general, estos servicios son falsos y no son más que una forma de suscribirte a un programa de SMS Premium o instalar un virus en tu dispositivo. Algunos recordareis el caso de WhatsApp Spy, cuyo creador, un murciano con ganas de marcha, fue detenido en 2013 tras haber estafado alrededor de 40.000 euros a más de 11.000 personas. Lo único que tuvo que hacer fue crear una web que imitaba a la de WhatsApp garantizando la posibilidad de leer las conversaciones de tus contactos.

Es cierto que con las últimas medidas de seguridad implementadas es mucho más complicado hackear la app, pero en este artículo vamos a reunir algunos de los métodos que han existido y existen a día de hoy para tratar de robar y acceder a mensajes de otras personas y de paso a revisar algunos métodos que permitían la obtención de otros datos.

Actualmente, es imposible acceder a la información de una cuenta de WhatsApp disponiendo sólo del número de teléfono de la víctima, no hagas caso a ese vídeo de YouTube que te asegura que en sólo 5 minutos puedes conseguirlo. Es de sentido común pensar que algo tan sencillo sería un problema gravísimo e inaceptable. Lo que sí puedes conseguir si dispones de un número de teléfono es su foto de perfil y estado. No hace falta ningún programa especial para conseguir esta información, es obvio: simplemente agregando a un contacto a tu agenda podrás verlo.

Espiar conversaciones privadas es delito

Antes de comenzar a tratar los diferentes métodos, queremos dejar claro que realizar cualquiera de las siguientes acciones para espiar cualquier conversación privada de otra persona es ilegal. Constituye un delito de descubrimiento y revelación de secretos del artículo 197 del Código Penal, penado con hasta 4 años de cárcel. Por lo tanto, pensad muy bien lo que queréis hacer antes de actuar.

Sí, era (y es) posible espiar conversaciones



Mucha gente piensa que ha sido y es imposible acceder a las conversaciones de otras personas, pero antes de que se popularizara y Facebook adquiriera la empresa, existían métodos muy sencillos para conseguir esto. En sus inicios, allá por el año 2009, era una aplicación pensada para comunicar a tus contactos qué estabas haciendo en ese momento por medio de los estados, de tal forma informabas si estabas disponible para responder una llamada o un SMS, pero no enviabas mensajes desde la propia aplicación como es posible hoy en día.

Por lo tanto, la seguridad no era un tema prioritario a tratar en una aplicación de este tipo. Sin embargo, todos hemos vivido la historia de cómo se popularizó cuando empezó a permitir la mensajería instantánea. Fue entonces cuando surgieron múltiples métodos para conseguir las conversaciones de otras personas.

WhatsApp Sniffer y derivados

En el caso de Android, había un método relativamente sencillo con el que debíamos disponer en nuestro teléfono de permisos root e instalar la aplicación WhatsApp Sniffer. Además, era necesario también estar conectado a la misma red wifi que la persona a la que queríamos espiar, y que además dicha red tuviera un nivel de seguridad muy bajo, algo que podíamos encontrarnos por ejemplo en cualquier biblioteca pública.

Interfaz de WhatsApp Sniffer en Android

Personalmente pude probarlo una vez hace 6 años con un Samsung Galaxy SII en una biblioteca de la universidad. ¿Funcionó? Sí, una vez activabas la aplicación comenzabas a ver todos los mensajes que enviaban los teléfonos conectados a la misma red wifi, aunque aparecían todos mezclados: no pienses que era tan sencillo como entrar a una conversación en particular y leerla como si estuvieras dentro del teléfono de la persona propietaria. Por lo tanto, su utilidad real era bastante limitada, ya que en apenas unos minutos acababas viendo un gran número de mensajes de todas las personas que estaban conectadas en la biblioteca sin saber quién hablaba con quién.

Backup en tarjetas SD

Otra forma de acceder a las conversaciones era mediante la copia de seguridad que se guardaba en teléfonos Android en la tarjeta microSD. Actualmente, ya no es tan sencillo porque ahora el cifrado requiere además la contraseña de la cuenta de Gmail asociada al teléfono. Por lo tanto, necesitaríamos acceder no sólo a la copia de seguridad de la tarjeta de memoria, sino también conseguir la contraseña de la cuenta de Gmail. Es cierto que esto no es algo imposible de realizar, pero sí que disuadirá de intentarlo a cualquier persona sin conocimientos avanzados.

Hijacking y robo de cuentas

Hace unos cuantos años, también era posible aprovecharse de bugs que tenía WhatsApp en su sistema para por medio de hijacking, conseguir que nos permitiera registrarnos en cuentas ajenas en un teléfono distinto al del usuario real. A día de hoy ya no es posible porque sus responsables tratan de controlar y cerrar agujeros de seguridad tan graves como este lo más rápidamente posible.

Robo de Apple ID

Es bastante común escuchar críticas hacia Android en favor de iOS como sistema más seguro. No voy a negar que Android es un sistema que en determinados dispositivos es bastante inseguro, principalmente en los que no están actualizados o provienen de países asiáticos. Hay que reconocerle a Apple el mérito de lograr que un sistema tan popular como es iOS sea por lo general más seguro que Android, pero eso no implica que sea imposible de hackear, ya sea para acceder a conversaciones de WhatsApp en iPhone o para cualquier otra ocurrencia malvada y recordamos, ilegal.

Accediendo a la copia de seguridad en iCloud, podíamos conseguir datos de las conversaciones. Este método se hizo bastante famoso en los medios cuando en 2014 sucedió el conocido ‘Celebgate’, escándalo que afectó a algunas de las mujeres más famosas del mundo al publicarse fotografías íntimas suyas en Internet. Fue posible gracias al uso de un keylogger para conseguir las contraseñas de las cuentas de Apple ID de todas las afectadas. Por lo que, si consigues la contraseña y accedes a su cuenta personal, tendrías acceso a su información. Una vez conseguido el acceso a la copia de seguridad usando una herramienta como ElcomSoft Phone Password Breaker podríamos ver las conversaciones.

También era posible y podríamos decir que sigue siendo posible acceder al backup del iPhone por medio de la herramienta iLoot. Digo lo de que podría seguir siendo posible ya que tras el ‘Celebgate’ Apple implementó la verificación en dos pasos, por lo que si consigues la contraseña del Apple ID de tu víctima, necesitarás conocer el código que tiene asignado a su cuenta. Aunque por suerte (o por desgracia, según se vea) no todo el mundo hace uso de estas medidas de seguridad.

WhatsApp Anti-Delete Protection Tool

En el caso de conocer la contraseña para el iPhone, también era posible utilizar la herramienta WhatsApp Anti-Delete Protection Tool para acceder a los mensajes del teléfono. La función real de esta aplicación no era la de espiar, sino la de ayudarnos a recuperar mensajes, incluidos los que hubieran sido eliminados.

Otro método posible requería conocer la contraseña del iPhone o poder acceder a un equipo en el cual se haya conectado el teléfono a iTunes para la realización de una copia de seguridad. En tal caso, utilizando la herramienta iFunBox podíamos acceder a la base de datos del iPhone.

WhatsApp Web

La forma más sencilla de sentirte hacker por un día y acceder a las conversaciones de otra persona sería utilizando WhatsApp Web. Este servicio te permite utilizar la aplicación desde un ordenador, pero necesita que el teléfono tenga conexión en todo momento. Además, necesitarías el teléfono de la persona a la que quieres espiar para al menos verificar tu navegador o equipo para acceder. Ten en cuenta que tu navegador y dispositivo aparecerán en el teléfono en la lista de equipos que tienen permiso para acceder a WhatsApp Web, por lo que fácilmente podrían detectarlo y echar por tierra tu intento de sentirte hacker.

Añadir un nuevo equipo para usar WhatsApp Web

Troyanos

La otra forma de conseguir acceder a las conversaciones de otra persona (y prácticamente cualquier cosa que haga con su teléfono) consistiría en introducir un troyano en el teléfono de la víctima. Obviamente, este tipo de software malicioso no se encuentra en la Play Store accesible para todo el mundo. Además, debes tener cuidado si decides buscar en Google alguna herramienta de este tipo, ya que es más que probable que te salga el tiro por la culata y seas tú el que acabe infectado y mandando información a hackers rusos.

Mediante el uso de un troyano sería posible infectar tanto un teléfono con Android como un iPhone. Para el caso de Android sería relativamente sencillo, ya que mediante la instalación de un APK podríamos acceder a la base de datos de WhatsApp, tal y como sucedió hace unos años con WhatsAppCopy, un servicio que venía escondido en una aplicación que decía ser un inocente juego.

Listado de equipos con acceso a WhatsApp Web

Con respecto al iPhone, es cierto que es más complicado ya que hay que hay que tener en cuenta ciertas condiciones del terminal, pero no imposible. Sería necesario utilizar otro tipo de herramientas, y habría que tener en cuenta el tipo de teléfono iPhone que queremos infectar o si tiene Jailbreak.

Robo de SIM y clonación de tarjetas

También tenemos los métodos que se basan en acceder a la tarjeta SIM para conseguir recibir todos los mensajes de una persona. Si puedes sacar la tarjeta SIM del teléfono de la víctima y conoces su código PIN, podrás registrarte en su cuenta. Aunque no podrás restaurar la copia de seguridad de los mensajes si desconoces el usuario y contraseña de la cuenta de Gmail o iCloud de la víctima, pero sí que recibirás todos los mensajes nuevos hasta que la otra persona se dé cuenta y vuelva a registrarse en su teléfono.

En el caso de que la persona a la que quieras espiar tenga una tarjeta SIM muy antigua (algo bastante común, sobre todo si no se ha cambiado de operador en muchos años) se podría clonar y de estar forma poder acceder siempre que quisiéramos a su cuenta de WhatsApp, pero con la misma limitación de no poder ver los mensajes anteriores.

Por último, tenemos un método bastante complejo que requiere que el teléfono vaya a estar desconectado durante varias horas. Para ello sería necesario haber realizado previamente una copia de la SIM y aprovecharíamos el sistema de cifrado que utiliza WhatsApp para engañar al servidor y ser tú el que recibe los mensajes descifrados en tu teléfono. Cuando configuras tu cuenta, se crean automáticamente dos claves de cifrado de mensajes: una pública que se manda a todos tus contactos y otra privada que permanece en tu teléfono. WhatsApp permite hacer una regeneración de las claves de cifrado públicas para usuarios que estén offline.

Todos los mensajes que le lleguen a mi cuenta cuando se encuentre desconectada, se quedarán en los servidores cifrados con la clave pública de mi teléfono. Por lo tanto, si otra persona consigue acceder a una copia de mi tarjeta SIM y conectarse a mi cuenta, se mandará la nueva clave pública a todos los contactos de la víctima, dando vía libre para recibir todos mis mensajes.

Este método sería posible utilizarlo incluso para recibir las llamadas de la víctima. Es cierto que se trata de un método muy complejo y que por lo general requiere unas condiciones excesivamente particulares para poder llevarlo a cabo con éxito y que probablemente no vayas a intentar utilizar para espiar a tu novia, pero puede ser útil para casos de espionaje industrial o político.

¿Verdad o leyenda urbana?

Como conclusión, hemos visto que realmente sí que fue posible acceder a las conversaciones de WhatsApp. Desde que se implementó el cifrado extremo a extremo la opción de interceptar los mensajes enviados se ha complicado bastante, aunque no es algo imposible de realizar y sigue habiendo formas de conseguirlo.

Eso sí, a día de hoy un usuario sin conocimientos avanzados puede hacerlo desde el sofá de su casa. Además, repetimos una vez más, está completamente prohibido y es ilegal en España. Aunque recurras al método más aparentemente ‘inocente’ de espiar por medio del uso de WhatsApp Web, y aunque no hayas instalado ningún software malicioso en un dispositivo, estarás cometiendo un delito y podrías acabar en la cárcel por ello.