¿Usas WhatsApp Web? Podrían Saberlo

WhatsApp se ha convertido en una herramienta de comunicación indispensable para millones de personas en todo el mundo. Su evolución ha llevado a la creación de versiones complementarias a la aplicación móvil, como WhatsApp Web y las aplicaciones de escritorio, que permiten a los usuarios chatear desde sus computadoras. La función multidispositivo, que permite usar WhatsApp en varios dispositivos sin que el teléfono principal esté conectado a internet, fue un avance muy esperado. Sin embargo, una reciente revelación por parte de un experto en seguridad ha puesto de manifiesto una consecuencia inesperada de esta funcionalidad: la posibilidad de detectar si un usuario está utilizando estas versiones de escritorio o web, más allá de la simple aplicación móvil.

Esta capacidad de detección, aunque no parece a primera vista una vulnerabilidad crítica, ha generado debate entre los expertos en seguridad digital, quienes la consideran un problema de privacidad. Conocer si un usuario tiene WhatsApp activo en una computadora podría ofrecer información valiosa para ciertos actores malintencionados, cambiando la percepción de seguridad que algunos usuarios podrían tener sobre su uso de la plataforma en diferentes dispositivos.

El Descubrimiento de Tal Be’ery

La revelación fue hecha por Tal Be’ery, cofundador y CTO de ZenGo, una empresa dedicada a carteras de criptomonedas. Be’ery descubrió y demostró que es posible determinar si un usuario de WhatsApp está utilizando activamente más que solo la aplicación en su teléfono móvil. Sus hallazgos fueron probados y verificados en tests realizados con números de WhatsApp controlados por el medio TechCrunch, confirmando la validez de su método.

Este descubrimiento se basa en la forma en que WhatsApp maneja las sesiones en su arquitectura multidispositivo. Según explicó Be’ery en su propio blog, cuando alguien envía un mensaje a otro usuario de WhatsApp, el dispositivo del remitente crea una clave de sesión diferente para cada dispositivo que el receptor está utilizando. Es decir, el simple acto de enviar un mensaje puede, indirectamente, informar al remitente cuántos dispositivos (teléfono más otras sesiones activas, presumiblemente web o escritorio) tiene el receptor asociados a su cuenta en ese momento.

¿Cómo Funciona la Detección?

La clave de este método de detección reside en la inspección del tráfico de red. Cualquier persona puede obtener esta información utilizando WhatsApp Web y examinando el tráfico de la red con las herramientas de desarrollo integradas en el navegador. Estas herramientas permiten ver los detalles técnicos de la comunicación entre el navegador y los servidores de WhatsApp.

Para que un atacante potencial descubra esta información, lo único que necesita es tener el número de teléfono del objetivo. Una vez que tienen el número, simplemente deben agregarlo a su lista de contactos de WhatsApp. La sorpresa y preocupación adicionales vienen del hecho de que este método funciona incluso si el usuario objetivo ha bloqueado el número del atacante. Be’ery demostró a TechCrunch que el bloqueo no impide que se genere la información sobre las sesiones activas al intentar enviar un mensaje, aunque este no se entregue. Esto significa que un usuario no tiene control sobre quién puede intentar sondear cuántos dispositivos está usando, siempre y cuando tengan su número de teléfono.

En esencia, el proceso implica:

1. Tener el número de teléfono del objetivo.
2. Agregar el número a los contactos de WhatsApp.
3. Usar WhatsApp Web.
4. Abrir las herramientas de desarrollo del navegador (por ejemplo, 'Inspector' o 'DevTools').
5. Intentar enviar un mensaje al contacto objetivo.
6. Inspeccionar el tráfico de red generado para identificar las claves de sesión creadas, lo que revela el número de dispositivos asociados a la cuenta del objetivo en ese momento.

Esta facilidad de acceso a la información, que no requiere habilidades de hacking avanzadas sino simplemente conocimiento técnico básico y acceso a WhatsApp Web, es lo que la hace notable.

Preocupaciones de Seguridad y Privacidad

Si bien detectar que alguien usa WhatsApp Web no parece tan grave como una filtración de mensajes o datos personales sensibles, los expertos en seguridad digital coinciden en que no es una situación ideal desde el punto de vista de la privacidad. Runa Sandvik, experta en seguridad digital, señaló a TechCrunch que esta información podría ser útil para la «recopilación de información y la planificación de un ataque».

Sandvik explicó que saber que un objetivo está utilizando WhatsApp en un escritorio podría ser relevante porque las computadoras suelen ser un objetivo más fácil de comprometer que los teléfonos móviles. Un atacante podría usar esta información para ajustar su enfoque, quizás buscando vulnerabilidades en el sistema operativo del escritorio o en el propio navegador, en lugar de intentar atacar la seguridad, generalmente más robusta, de un sistema operativo móvil.

Además, Sandvik añadió que esta capacidad de detección «al menos te dice más sobre los dispositivos que usan y cuán ‘accesible’ puede ser su configuración de WhatsApp». Para personas en riesgo, como periodistas, activistas o políticos (grupos con los que trabaja Sandvik a través de su startup Granitt), cualquier información adicional sobre su huella digital puede ser explotada.

Harlo Holmes, director de seguridad de la información en la Freedom of the Press Foundation, fue más directo, calificando la capacidad de saber en qué dispositivos las personas usan WhatsApp como un problema de privacidad claro. Holmes argumentó que los metadatos relacionados con la «presencia» o el estado de un usuario deberían estar protegidos y ser opcionales, de forma similar a cómo los usuarios pueden elegir desactivar la confirmación de lectura (el doble check azul) o el indicador de escritura.

Holmes trazó un paralelo entre esta detección de dispositivos y otros tipos de metadatos sensibles, como la geolocalización, el estado de 'ausente' o las confirmaciones de lectura. Todos estos son indicadores sobre la actividad y ubicación potencial de un usuario. «Similar a la geolocalización, el estado de ausente y las confirmaciones de lectura; esto no es diferente», afirmó Holmes, sugiriendo que WhatsApp debería ofrecer una opción similar para desactivar los indicadores de dispositivo activo.

En un ejemplo práctico, Holmes ilustró cómo esta información podría ser mal utilizada: «quizás un acosador podría deducir que estoy en casa o no, dependiendo de qué dispositivo usé». Esto resalta cómo metadatos aparentemente inocuos pueden tener implicaciones en el mundo real para la seguridad personal, especialmente para aquellos que enfrentan amenazas de vigilancia o acoso.

La Respuesta de WhatsApp (Meta)

Ante las preocupaciones planteadas por la investigación de Tal Be’ery, Meta, la empresa matriz de WhatsApp, emitió una declaración a través de su portavoz, Zade Alsawah. Meta reconoció haber recibido la investigación de Be’ery y afirmó que, tras revisarla, concluyeron que el diseño actual de la aplicación es «lo que los usuarios quieren y esperan».

La declaración de Alsawah se centró en las ventajas de la funcionalidad multidispositivo. Explicó que, históricamente, el teléfono principal tenía que estar en línea para recibir mensajes, lo que imponía limitaciones significativas. La función multidispositivo superó esta limitación, permitiendo a los usuarios enviar y recibir mensajes personales «a través de dispositivos de forma privada con cifrado de extremo a extremo». Según Meta, esta es la dirección que continuarán tomando.

Tabla simple que resume la situación:

La respuesta de Meta indica claramente que, por ahora, no tienen intenciones de modificar la forma en que funcionan las sesiones multidispositivo para mitigar esta capacidad de detección. Su enfoque principal parece estar en la conveniencia del usuario y en mantener el cifrado de extremo a extremo a través de múltiples dispositivos, considerando la detección de dispositivos como una consecuencia aceptable de esta arquitectura.

¿Qué Pueden Hacer los Usuarios?

Según la información proporcionada en el artículo, la respuesta a esta pregunta es desalentadora. Tal Be’ery demostró que no hay nada que una persona pueda hacer actualmente para evitar que otros vean este tipo de información sobre sus sesiones activas de WhatsApp. Dado que funciona incluso si el número del atacante está bloqueado y se basa en el diseño fundamental de la funcionalidad multidispositivo, los usuarios no tienen una opción de configuración para desactivar esta 'señal' de presencia en otros dispositivos.

La postura de WhatsApp, al afirmar que este diseño es lo que los usuarios desean y esperan y que continuarán por ese camino, sugiere que no se ofrecerá una opción para ocultar esta información en un futuro cercano. Esto deja a los usuarios sin control sobre este aspecto particular de su privacidad digital dentro de la plataforma.

Preguntas Frecuentes (FAQ)

¿Es esta capacidad de detección un fallo de seguridad en WhatsApp?
Según Meta, no lo consideran un fallo, sino una consecuencia del diseño de la función multidispositivo, que permite usar WhatsApp en varios dispositivos sin el teléfono principal. Los expertos en seguridad, sin embargo, lo ven como un problema de privacidad.

¿Quién descubrió esta forma de detectar WhatsApp Web?
Fue descubierta y demostrada por Tal Be’ery, cofundador y CTO de ZenGo.

¿Necesito ser un hacker experto para saber si alguien usa WhatsApp Web?
No se requieren habilidades de hacking avanzadas. El método implica usar WhatsApp Web, tener el número del objetivo y usar las herramientas de desarrollo del navegador para inspeccionar el tráfico de red, lo cual requiere un conocimiento técnico básico.

¿Funciona la detección si el usuario objetivo me ha bloqueado en WhatsApp?
Sí, según la demostración de Tal Be’ery, el método funciona incluso si el número del atacante está bloqueado por el objetivo.

¿Qué información se puede obtener exactamente?
Se puede saber cuántos dispositivos tiene un usuario asociados a su cuenta de WhatsApp en un momento dado (generalmente, el teléfono principal más cualquier sesión activa en Web o Desktop).

¿Puede esta información ser peligrosa?
Aunque no revela contenido de mensajes, los expertos en seguridad advierten que puede ser útil para la recopilación de información por parte de atacantes, ayudándoles a identificar posibles objetivos o a planificar ataques dirigidos, especialmente si el objetivo usa WhatsApp en una computadora, que puede ser más vulnerable que un móvil.

¿Puedo evitar que alguien detecte si uso WhatsApp Web o Desktop?
Según la información disponible, actualmente no hay una opción de configuración o acción que los usuarios puedan tomar para evitar esta detección, ya que se basa en el diseño fundamental de la función multidispositivo y funciona incluso con números bloqueados.

¿Piensa WhatsApp cambiar esto para proteger la privacidad de los usuarios?
Según la declaración de Meta, consideran que el diseño actual cumple con las expectativas de los usuarios para la función multidispositivo y no planean cambiarlo por ahora.

Conclusión

La posibilidad de detectar si un usuario de WhatsApp está activo en versiones web o de escritorio, revelada por Tal Be’ery, subraya la complejidad de equilibrar la funcionalidad multidispositivo con la privacidad del usuario. Aunque Meta considera que el diseño actual es el adecuado para ofrecer una experiencia multidispositivo fluida y cifrada, los expertos en seguridad ven esta característica como una potencial brecha en la privacidad, que podría ser explotada para fines de reconocimiento. La ausencia de una opción para que los usuarios controlen esta visibilidad de sus sesiones activas plantea interrogantes sobre la transparencia y el control que los usuarios tienen sobre sus propios metadatos en la plataforma. Por ahora, los usuarios deben ser conscientes de que el simple hecho de usar WhatsApp Web o Desktop puede ser detectable para cualquiera que tenga su número de teléfono y sepa cómo buscar la señal correcta en el tráfico de red.

Si quieres conocer otros artículos parecidos a ¿Usas WhatsApp Web? Podrían Saberlo puedes visitar la categoría Automóviles.