WhatsSpy Public: un virus «aprovechable» para las empresas

El blog de Panda Security nos informa hoy que WhatsApp sabe que tiene una importante grieta de seguridad desde hace un año y que, como no lo han solucionado, el holandés Maikel Zweerink la ha utilizado para «colar» una app que monitoriza toda la información privada de cualquier usuario: se llama WhatsSpy Public.

Esta información, que se extraería de forma fraudulenta, podría tener un uso empresarial (muy poco ético), es decir, que si algunas compañías de Internet utilizan el rastro que dejas en la web (páginas que visitas, gustos en redes sociales, etc.) para diseñar campañas de publicidad personalizadas, podrían hacer algo parecido con los datos de actividad en WhatsApp.

¿Cómo funciona?

Aunque tengas deshabilitada la opción de mostrar la hora de tu última conexión, la nueva app indica cuándo estás conectado, si has estado disponible antes y la hora de desconexión, además de cualquier modificación que hayas hecho últimamente en tu perfil. El objetivo de Zweerink no es brindar a los entrometidos la estrategia perfecta para espiarnos, sino alertar sobre el grave riesgo para tu privacidad que Whatsapp ha pasado por alto.

Todo comenzó como un experimento; solo quería crear un ‘robot’ para su uso personal, pero se percató de que alguien podía utilizar una herramienta parecida para seguir el rastro digital de otras personas. Desarrollar una app para mostrarlo abiertamente le pareció la mejor manera de alertar a la sociedad.

Una vez que la aplicación está instalada, todo lo que hay que hacer para ver la información de cualquier número de teléfono es agregarlo a contactos y abrir una ventana de chat. No es necesario pedir permiso a la otra persona, que no se dará cuenta de nada.

El ‘robot’ muestra todos los datos en la ventana, como si se el usuario se hubiera suscrito a la cuenta de ese otro individuo cuya información le interesa. A los más fisgones la herramienta podría servirles para vigilar a todos sus contactos, aunque el holandés advierte que su aplicación no está hecha para soportar un gran número de peticiones.

Quizá no sea demasiado grave que alguien pueda saber si te has conectado o no en las últimas horas, pero Zweerink considera un engaño que los ajustes de privacidad no funcionen como deberían. La empresa estaría dando una falsa sensación de seguridad a los usuarios al garantizarles que nadie puede ver cierta cuando no ocurre así.

Recientemente, un representante de la empresa ha respondido a las acusaciones del holandés afirmando que no se trata de ningúnfallo de seguridad, sino que la aplicación de Zweerink solo recopila una información que está ahí y que los usuarios pueden ver de todas formas. El problema, según el investigador, es precisamente ese: que puedan verlo igualmente.