Nueva vulnerabilidad afecta WhatsApp, Telegram y Signal. El vector de ataque Mobile Contact Discovery

Desde la aparición de las aplicaciones de mensajería instantánea bastan unos cuantos toques a la pantalla de nuestros teléfonos para ponernos en contacto con familiares, amigos y conocidos. Si bien han facilitado muchas cosas estas plataformas cuentan con sus propios problemas de seguridad, aunque los potenciales vectores de ataque no siempre están a la vista, mencionan expertos en seguridad en redes inalámbricas.

Uno de los vectores de ataque que más ha llamado la atención de los investigadores recientemente es el Descubrimiento de Contactos Móviles (MCD, por sus siglas en inglés), la función de las apps de mensajería que permite encontrar a otros usuarios una lista de contactos sin necesidad de más información además de su número telefónico.

Las apps de mensajería más populares, incluyendo a WhatsApp, cuentan con MCD, accediendo constantemente a la lista de contactos de los usuarios para encontrar a otros usuarios registrados en la misma plataforma. Por otra parte, servicios con un mayor enfoque en la privacidad, como Signal, dependen de un breve hashing del número telefónico del usuario, aunque los expertos en seguridad en redes inalámbricas señalan que este no es un método mucho más seguro que el de otros servicios. 

En la más reciente investigación sobre esta función, a cargo de la Universidad de Würzburg, se demuestra que los servicios MCD pueden representar una seria amenaza de seguridad para los usuarios de apps de mensajería.

FILTRACIÓN DE DATOS

El principal riesgo en la implementación de MCD es la potencial filtración de los contactos de un usuario debido a incidentes de seguridad, pues un incidente de esta naturaleza presentaría la oportunidad ideal para que los actores de amenazas desplieguen ataques de phishing o fraudes de identidad con toda clase de fines maliciosos. Otro riesgo viene del actuar de los gobiernos de todo el mundo, que podrían comenzar a ejercer presión contra las plataformas de mensajería para que entreguen la información de algún usuario bajo investigación o sospechoso de algún crimen.

ENCONTRAR A UN USUARIO POR MEDIO DE LOS METADATOS

Los metadatos tampoco están a salvo de la actividad de los hackers maliciosos, lo peor es que millones de usuarios ni siquiera están consientes de la existencia de estas partículas de información; foto de perfil, estados, última conexión y nombre de usuario son algunos de los datos que pueden resultar de gran utilidad para los criminales, aunque no parezcan información importante.

Es increíblemente fácil para un usuario malicioso recolectar metadatos de apps de mensajería para encontrar los perfiles en redes sociales de una persona, labor que puede resultar útil para elaborar perfiles detallados de los usuarios con fines criminales.

Otro riesgo al que los usuarios podrían estar expuestos son los ataques de enumeración, imposibles de prevenir en estas plataformas dados los limitados requisitos para registrarse en estos servicios.

CASOS DE ESTUDIO: WHATSAPP, TELEGRAM Y SIGNAL

Los expertos en seguridad en redes inalámbricas analizaron estas apps de mensajería descubriendo que en los tres casos es completamente posible realizar ataques como los descritos en párrafos anteriores a una escala inusitada. Otro hallazgo interesante tiene que ver con las prácticas de los usuarios, quienes muy pocas veces cambian la configuración de privacidad predeterminada en el servicio de su preferencia, exponiéndose a riesgos de seguridad mucho mayores que los relacionados solo con el uso de MCD.

Finalmente, los protocolos de descubrimiento de contactos basados en hash (como el usado en Signal) pueden ser vulnerados fácilmente al comparar tres métodos para la inversión hash de números telefónicos, convirtiéndose en un mecanismo muy poco seguro.

Gracias a esta investigación ha quedado demostrado que es posible comprometer la seguridad de miles de millones de usuarios que confían en estas plataformas para la administración de sus comunicaciones cotidianas; los hallazgos de los investigadores fueron compartidos con WhatsApp, Signal y Telegram con el propósito de que las compañías encuentren los mecanismos necesarios para implementar las mejoras en el uso de MCD.

Además del análisis de los riesgos de seguridad en MCD, los investigadores proponen algunas medidas para mitigar los riesgos que conlleva esta práctica, con enfoque en el uso de protocolos de cifrado altamente seguros que puedan evitar cualquier filtración de información.

El uso de protocolos de cifrado para la intersección de conjuntos privados es probablemente el enfoque más destacado para mejorar la seguridad en la implementación de MCD a futuro. Estos protocolos permitirían a los usuarios y proveedores encontrar contactos sin necesidad de exponer información no disponible fuera del simple número telefónico, aunque aún está por verse su efectividad real.