Telegram y WhatsApp vulnerables por el protocolo SS7 (Actualizado)

Ya sabemos que el cifrado de Telegram ha sido uno de los grandes atractivos en materia de seguridad por los que la conocida aplicación ha apostado desde sus inicios, y que recientemente WhatsApp decidió hacer lo mismo incorporando el cifrado de extremo a extremo para intentar colocarse al mismo nivel que aquella, pero el protocolo SS7 les ha jugado una mala pasada.

Puede sonar bien, pero según indican numerosos expertos en seguridad hay un problema muy grave que prácticamente hace que dicho cifrado «no sirva de nada», y es que ambas aplicaciones utilizan el protocolo SS7 para las comunicaciones, convertido en estándar allá por 1981 y hoy por hoy lleno de agujeros de seguridad.

Por si alguien duda de la veracidad de esta información hay ejemplos concretos en los que se ha demostrado lo fácil que puede llegar a ser espiar conversaciones supuestamente seguras gracias a las vulnerabilidades de dicho protocolo, como el publicado por la firma de seguridad Positive Technologies, que demostró cómo podía hacerlo gracias una técnica de suplantación de identidad.

¿Implica que WhatsApp y Telegram no son seguras? No, no queremos decir eso. Para evitar cualquier posible duda o interpretación errónea debemos tener claro que el problema no está en las aplicaciones en sí, y de hecho tampoco en su cifrado, sino en el uso del citado protocolo de comunicaciones SS7.

¿Por qué se utiliza dicho protocolo? Por el sistema de registro mediante número de teléfono que utilizan ambas aplicaciones, un punto importante que nos lleva a algo muy simple, si ambas abandonaran por completo dicha modalidad de registro dejarían de estar afectadas por este problema.

En este sentido hemos podido constatar gracias a filtraciones recientes que WhatsApp por ejemplo está trabajando para migrar y abandonar el registro mediante número de teléfono, y que podría apostar por una modalidad en la que utilizaría cuentas de Facebook o de correo electrónico, además de escaneado de códigos QR para añadir contactos.

Más información: The Register.

Actualizamos con una información que nos han pasado desde la agencia oficial de Facebook en España que reproducimos tal cual:

«Hemos construido WhatsApp para conseguir comunicaciones rápidas, fiables y seguras. También hemos diseñado medidas de protección para mitigar vulnerabilidades SS7:

 

En primer lugar, nosotros no almacenamos los mensajes después de ser entregados y las conversaciones son cifradas de extremo a extremo por defecto.

 

En segundo lugar, tenemos un ajuste «Mostrar Notificaciones de Seguridad» que le avisa cuando el código de seguridad de un contacto ha cambiado. Con esta configuración activada aparecerá una notificación cuando alguien vuelve a instalar WhatsApp o cambia móviles porque su código de seguridad de 60 dígitos habrá cambiado. Pero también podría significar que alguien, como un impostor, se ha infiltrado en la conversación. Puede pedir a la persona que se está comunicando con usted que verifique su código de seguridad de 60 dígitos para asegurarse de que se está comunicando con el que se pretende.

 

Podemos agregar esta capa adicional de seguridad a nuestras cuentas mediante la selección de la opción «Mostrar seguridad Notificaciones» en Configuración> Cuenta> Seguridad. Poder verificar la identidad de alguien es una manera útil de protegerse contra un ataque SS7 ya que nos ayuda a hacer frente a posibles impostores».