Desde hace bastante tiempo la seguridad de servicios de comunicación como Facebook Messenger o WhatsApp está en entredicho. Y no es pensar mal. Acabamos de conocer precisamente que el segundo está sufriendo una vulnerabilidad que puede ser explotada para espiar los patrones de sueño. Es decir, es posible descubrir a qué hora un usuario se duerme o despierta. Y no solo esto, también con quién está hablando. Lo verdaderamente preocupante es que prácticamente cualquier persona con un poco de comprensión técnica y un ordenador portátil puede abusar de este defecto.
WhatsApp puede saber con quién hablas
Uno de los principales problemas se deben a las últimas funciones de estado en línea y vistas de WhatsApp, que permiten comprobar continuamente qué contactos estuvieron conectados por última vez. Si bien WhatsApp da la opción de mostrar las vistas de estado (o a nadie, a todos los contactos o a contactos concretos), no hay forma de desactivar la función de estado en línea que revela que estás utilizando activamente el servicio. Por tanto, no hay nada que se pueda hacer para evitar que los atacantes controlen nuestra actividad.
Esta información pueda parecer inofensiva a priori. Realmente no se puede en juego la seguridad de nuestra cuenta o datos bancarios. No obstante, registrar todos estos datos para su posterior análisis podría revelar un poco sobre la forma en la que pasamos el tiempo, y, especialmente, cuándo y cuánto dormimos. Algo que realmente estaría afectando a la privacidad. Y es que, se podría terminar abusando de estos datos para fines maliciosos.
Un descubrimiento ingenioso
La vulnerabilidad ha sido descubierta por el ingeniero de software Rob Heaton, quien no es un novato en este tema. Anteriormente ya ha realizado otros hallazgos similares relacionados con la seguridad. Para demostrar cómo se puede abusar de estos datos para fines maliciosos, el investigador imagina un escenario. En él se construye una extensión de Chrome, con el único propósito de ver y registrar la actividad en línea de los contactos de WhatsApp haciendo uso de la aplicación web del servicio.
Esto hace posible adivinar cuándo una persona se despierta y se va a dormir, así como exactamente cuánto tiempo está durmiendo. El tema se vuelve más crudo cuando se cruzan los patrones de actividad en línea de una persona con los de otra. La superposición de los datos de varias personas permitiría averiguar si dos contactos están hablando entre sí. Por ejemplo, si una persona se conecta en línea para hablar con uno de sus contactos, es probable que ese contacto aparezca en línea para responder. Una vez que esto comienza a convertirse en un patrón, es posible comparar esta actividad en línea para averiguar qué probabilidad existe de que las dos personas estén hablando entre sí. Heaton ha compartido algunas gráficas para mostrar cómo se vería esto:
¿Cuál es el verdadero peligro de esto?
El investigador de seguridad ha concluido en que estos datos pueden ser recopilados fácilmente a escala masiva para después venderse a terceros para fines publicitarios. Las personas con patrones de sueño irregulares son, después de todo, excelentes clientes para los fabricantes de somníferos. Asimismo, la vulnerabilidad descubierta por Heaton es un problema que los servicios de mensajería han estado tratando durante siglos, y que afecta a muchas otras aplicaciones de comunicación. De hecho, los astutos investigadores ya han explotado esta vulnerabilidad para usar el mismo truco en Facebook.