Saltan las
alarmas cuando leemos que una empresa puede estar tratando nuestros datos de
manera irregular, y como no, WhatsApp siempre está en el punto de mira.
WhatsApp no
parece tener un error que exponga los mensajes de sus usuarios, simplemente,
así es como funciona el servicio.
Todo el
revuelo sobre la exposición de mensajes empezó a raíz del siguiente tweet:
logged into
whatsapp with a new phone number today and the message history from the
previous number’s owner was right there?! this doesn’t seem right.
— Abby
Fuller (@abbyfuller) 11 de enero de 2019
A partir de
aquí se empezó a sugerir que la conocida aplicación de mensajería podría tener
un error de privacidad enorme y podría estar exponiendo, bajo ciertas
circunstancias, algunos de nuestros mensajes a otros usuarios.
Si leemos
el Tweet de Abby Fuller comenta que, cuando instaló WhatsApp en su nuevo teléfono,
con su nuevo número, encontró lo que sería el historial de mensajes del
propietario anterior del mismo número.
Ya que para
WhatsApp nuestro número de teléfono es nuestro nombre de usuario y la
contraseña es la OTP (One-Time Password o contraseña de un solo uso) que envían
a ese mismo número, no es una vulnerabilidad, así es como funciona el servicio.
WhatsApp
mencionó en su blog que “common practice for mobile providers to recycle
numbers, you should expect that your former number will be reassigned”
“Es una
práctica común que los proveedores de servicios móviles reciclen números, es de
esperar que su anterior número sea reasignado.”
En sus
tweets, Fuller dijo que el historial de mensajes “no era completo, pero eran
conversaciones reales” Queda por confirmar si esos mensajes incluían algún
mensaje enviado por el anterior propietario del número.
A pesar de
todo, la configuración de WhatsApp en un nuevo dispositivio con un número de
teléfono nuevo no permite restaurar el archivo de mensajes del propietario
anterior porque la empresa nunca realiza copias de seguridad de las conversaciones
cifradas en sus servidores, actualmente las copias de seguridad de WhatsApp son
almacenadas en nuestro Google Drive o localmente en el dispositivo.
Sin
embargo, la empresa de mensajería mantiene los mensajes pendientes 45 días en
su servidor hasta que el destinatario está en línea y los puede entregar.
Después de esos 45 días los mensajes son eliminados.
Esto
sugiere que los mensajes que Fuller encontró en su nueva cuenta de WhatsApp
fueron, probablemente, mensajes no entregados que enviaron los contactos del
antiguo propietario antes de que éste dejara de usar el número.
Para evitar
que sus mensajes anteriores lleguen a otros dispositivos, WhatsApp recomienda a
los usuarios eliminar su cuenta antes de dejar de usar una tarjeta SIM o
cambiar de cuenta con la función “cambiar de número” que está disponible en la
configuración de la APP.
Esto es lo
que podría haber pasado
Algunos
usuarios de sitios web como Reddit o Twitter sugieren que el mecanismo de
eliminación de mensajes tras los 45 días en los servidores de WhatsApp contiene
un error que, eventualmente, mantiene los mensaje sin entregar almacenados en
el servidor de la compañía durante más tiempo. Pero todavía queda un detalle
importante por mencionar, El antiguo usuario del número no necesitaba su
tarjeta SIM para seguir usando su cuenta de WhatsApp, una vez que esté
configurada en el teléfono. Eso significa que es probable que el antiguo
propietario del número aún estuviera usando su cuenta después de deshacerse de
su SIM hasta que Fuller configuró el mismo número y verificó la cuenta usando
el OPT recibido.
Más información
- https://faq.whatsapp.com/en/s40/28030001/
- https://thehackernews.com/2019/01/whatsapp-privacy-chats.html
Fuente:
Hispasec