Des que existeixen les plataformes gratuïtes de missatgeria instantània, existeixen les faules virals sobre elles. En l’època en la qual ens comunicàvem per MSN Messenger, els missatges virals anunciaven que la plataforma anava a canviar la política de privacitat i que l’única manera d’evitar-ho era reexpedint el missatge a tots els nostres contactes. Avui dia, gairebé 20 anys després, ens continuen arribant contínuament missatges molt similars sobre WhatsApp on se’ns suggereixen que, directament, ens canviem a altres plataformes com Line o Telegram.
La bona notícia és que pots continuar usant WhatssApp encara que, en aquesta ocasió, sí que podem afirmar que “quan el riu sona, aigua porta”, perquè els últims canvis en la política de privacitat de WhatsApp canvien algunes ‘regles del joc’. Per tant, és recomanable fer alguns ajustos en l’app perquè puguis continuar usant-la d’una forma completament segura.
És WhatsApp una plataforma segura?
Tornem a insistir: WhatsApp és una plataforma segura. No obstant això, des del mes d’octubre s’ha implementat una sèrie de canvis que permeten un major intercanvi de dades amb Facebook, la seva empresa matriu des de la seva adquisició en 2014, i amb les altres aplicacions del grup de Mark Zuckerberg.
Cal veure aquestes novetats amb una certa perspectiva per a entendre què està ocorrent. Les dades més importants i sensibles que manegem en WhatsApp són els nostres missatges i totes les comunicacions que es produeixen en l’app continuaran sent privades entre tots els usuaris. Això és possible gràcies al xifratge d’extrem a extrem. És a dir, ningú més que l’emissor i el receptor d’un missatge podrà llegir-los. Tant és així, que ni la mateixa WhatsApp té manera d’accedir al contingut que enviem a cap dels nostres contactes.
No obstant això, les metadades són el quid de la qüestió: WhatsApp recopila bastant informació que creua amb altres de les plataformes de Facebook. Encara que és cert que compta amb més informació sobre els seus usuaris que iMessage, Signal i Telegram, els seus algorismes poden creuar el Big Data per a saber amb qui converses, quan ho fas i fins i tot les temàtiques que més t’interessen. Així i tot, tota aquesta informació que ‘estudia’ la seva intel·ligència artificial és molt menys voluminosa que la que analitzen altres plataformes com Facebook, Google, Messenger, Snapchat o TikTok, entre altres. Dit d’una altra manera, tret que no usis cap d’aquests serveis, WhatsApp hauria de ser la menor de les teves preocupacions.
El malware és un risc real en augment
Malgrat tot i com en qualsevol plataforma digital, existeixen amenaces i riscos reals relacionats amb WhatsApp. Per això, és recomanable canviar alguns punts de la configuració de l’aplicació per a continuar usant-la de la forma més segura possible.
El primer que s’ha de fer és evitar els continguts maliciosos. Des de Panda Security venim detectant des de fa anys un augment continu de malware que es comparteix per mitjà d’enllaços i arxius adjunts. En obrir-los, es poden executar en el nostre telèfon.
“Per això, el més assenyat és comptar amb capes de seguretat extra que vetllin per la seguretat de tota la nostra identitat digital, no dels dispositius de manera individual. Hem de tenir en compte que cada dia tenim més dispositius connectats a les mateixes plataformes i, que un ciberdelincuente entre en un d’ells, pot accedir a tota la informació sensible que tenim en el món digital, adverteix Hervé Lambert, Global Consumer Operations Manager de Panda Security.
El robatori de WhatsApp per mitjà d’un SMS
El segon és posar totes les traves possibles per a evitar que els ciberdelincuentes no ens robin el nostre compte. Encara que és cert que si un delinqüent virtual s’apodera del teu compte no pot accedir a cap dels missatges que havies rebut abans de l’atac, és clar que rebrà tots els missatges que t’enviïn durant el temps que tinguin el control del teu compte. A més, podran veure tota la informació i els contactes de les persones que t’escriguin durant aquest temps, ja sigui per missatges privats o de grup.
“Un dels ciberatacs que més ha augmentat en 2020 ha estat el del robatori de credencials per a accedir a WhatsApp”, recorda Hervé Lambert. No obstant això, els hackers no solen usar malware per a això. Se serveixen de l’enginyeria social i de missatges estàndard per a enganyar les seves víctimes. En concret, les enganyen perquè els enviïn el SMS d’activació de WhatsApp quan es dóna d’alta l’app en un telèfon nou.
L’engany és bastant senzill i és molt fàcil caure en ell: el ciberdelincuente, que prèviament ha robat el compte d’una persona que et té en la seva llista de contactes, t’envia un missatge similar a aquest: “Perdona, però per error vaig posar el teu número com a telèfon de recuperació de WhatsApp i t’han enviat un SMS amb un codi. Si us plau, pots reexpedir-m’ho? És que si no, no puc instal·lar-ho en el mòbil nou. Gràcies”
Quan la víctima li envia aquest missatge, la qual cosa realment està fent és donar-li la clau d’accés al seu compte de WhatsApp. A partir d’aquest moment, el ciberdelincuente es fa amb l’accés del compte durant el temps que tard la víctima a adonar-se de l’engany i aconsegueixi recuperar-la.
Afortunadament, aquest risc és bastant fàcil d’evitar si es configura WhatsApp correctament. Des de fa alguns mesos, és possible agregar un número PIN secret en l’aplicació que cal introduir abans de començar l’app. Sense aquest codi, l’atacant no podrà segrestar el compte, fins i tot si s’apodera d’aquest codi SMS.
Les còpies de seguretat i els dispositius associats
Però el major risc de tots els que aguaiten actualment a WhatsApp són les còpies de seguretat. Com dèiem al principi, tots els missatges que s’envien estan xifrats d’extrem a extrem. No obstant això, quan es puja un suport o còpia de seguretat de l’historial de missatges en el núvol de Google o d’Apple, aquestes còpies de seguretat deixen d’estar xifrades.
Malgrat que encara no hi ha dades que indiquin que hi hagi hagut cap filtració de dades en aquests núvols, la veritat és que Apple i Google poden accedir a tota aquesta informació, invalidant, per tant, el propòsit del xifratge d’extrem a extrem. Per tant, si algú aconsegueix accedir al teu núvol o a l’ordinador que utilitzes per a accedir a ella, tindrà accés a tot el que has compartit en WhatsApp.
A vegades oblidem que tota la informació que compartim en dispositius i plataformes digitals pot convertir-se en un rastre de molles que els ciberdelincuentes poden seguir per a arribar als seus fins. A vegades, només utilitzen a les seves víctimes com a mers ‘vehicles’ per a arribar a altres persones. Així, encara que pensem que no som ningú important com perquè em robin la meva informació, sempre coneixem a altres persones que si manegen dades sensibles en el seu treball o en la seva vida privada. Si per mitjà d’una vulneració de la nostra seguretat, aconsegueixen arribar a altres persones, estarem sent còmplices indirectes dels malfactors, si no apliquem les mesures de seguretat mínima en la nostra vida digital”, postil·la Hervé Lambert.
