WhatsApp Web está
siendo ampliamente utilizado en entornos empresariales, pese a que su política
de uso deja claro que solo puede utilizarse para uso personal. La razón de su
uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener
que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación
adquirida por Facebook en 2014.
Los problemas de
seguridad relacionados con la utilización de este tipo de software deriva en la
facilidad de filtrar información y la complejidad de establecer medidas de
control sobre la información que sale a través de estas aplicaciones.
Concretamente, WhatsApp Web es una aplicación web relativamente compleja en su forma
de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con
Google Chrome debido a que era el único navegador que integraba la tecnología
WebRTC en ese momento (a día de hoy es soportada por la mayoría de los
navegadores).
En un principio
WhatsApp Web solo se podía usar desde terminales Android, pero la aplicación ha
ido evolucionando permitiendo la compatibilidad con iOS. Esta limitación era
debida a limitaciones en la API de iOS al manejar las aplicaciones en segundo
plano, ya que no permitía mantener una conexión abierta a un servidor ni
aceptar conexiones entrantes desde el navegador.
El modelo de
funcionamiento de esta aplicación web contempla dos formas de uso:
- Si comparten
conexión WiFi el equipo y el terminal móvil, la conexión se establecerá
del equipo al móvil mediante la WiFi, y del móvil a los servidores finales
de WhatsApp usando la conexión de datos (o la misma conexión WiFi si no
está disponible la conexión de datos).
- En caso de que
no compartan conexión WiFi, el equipo se comunica con servidores
intermedios de WhatsApp a través de su conexión a Internet (sin pasar por
el móvil). Estos servidores intermedios de WhatsApp contactan con el móvil
a través de su conexión de datos, y finalmente el móvil envía los mensajes
a través de su conexión de datos (u otra WiFI externa) a los servidores
finales de WhatsApp.
En resumidas cuentas,
la aplicación web no es más que una forma de control remoto sobre la aplicación
de WhatsApp que funciona en el móvil. Es fácil darse cuenta de esto, ya que
cuando el móvil pierde conexión a Internet, WhatsApp Web deja de funcionar al
instante. Lo cierto es que simplifica bastante la gestión de la seguridad por
parte de WhatsApp si te obligan a pasar por el móvil, y se aseguran de que el
usuario no se desvincula de la aplicación móvil.
La segunda forma de
uso (compartiendo WiFi) se puede controlar filtrando fácilmente a nivel de red,
sin embargo la primera forma de uso es algo más complicada de controlar, y es
más fácil su filtrado a nivel de los equipos de sobremesa de los empleados.
Particularmente, es más complicado su filtrado si el móvil se conecte a los
servidores finales de WhatsApp a través de su conexión de datos, en vez de usar
la WiFi. Si hablamos de la primera forma, la complejidad, debemos considerar de
que el tráfico de red no saldrá por nuestra conexión a Internet y la
complejidad del filtrado aumenta.
No obstante, si
controlamos la configuración de red de cada uno de los equipos, una solución
sencilla para controlar ambas formas de uso sería bloquear la resolución de
nombres del dominio 'web.whatsapp.com'. Este dominio es el usado por WhatsApp
Web, de forma que impediríamos efectivamente el acceso a la aplicación web. Una
de las formas de hacerlo: Modificar el archivo '/etc/hosts' en Linux o
'C:\WINDOWS\system32\drivers\etc\hosts' en Windows para que apunte a localhost
(una forma clásica de impedir la resolución de un dominio). 127.0.0.1
web.whatsapp.com
Habría que tener
cuidado con las cachés de las que disponen los navegadores modernos, que en
algunos casos guardan las resoluciones de los dominios, y aunque actualmente se
haya apuntado el dominio a otra dirección, pueden seguir cargando la dirección
antigua real. También existen algunas otras formas de llevar a cabo este
bloqueo, como el uso de plugins, o el filtrado desde el propio firewall del
equipo.
Más información:
- Campaña internacional de fraude por Whatsapp a
diferentes supermercados http://laboratorio.blogs.hispasec.com/2015/08/campana-internacional-de-fraude-por.html
Fuente: Hispasec