Calma, esta no es una aviso para echar pestes de las políticas de privacidad de WhatsAp y Meta: hoy venimos a valorar una vulnerabilidad, tanto de la app de transporte de Zuckerberg como de Signal o Threema, por la que es posible triangular la ubicación de cualquiera con un ataque combinado. Lo leemos en Restoreprivacy.
Verás, cuando envías un mensaje a cualquiera en WhatsApp, Signal o Threema, hay un sistema por defecto para asimilar si se ha enviado, recibido y ilustrado (a menos que el receptor o la receptora tenga el check cerúleo deshabilitado):
Si te fijas, en el caso de este ejemplo no aparece la hora de leída precisamente porque la cuenta usada tiene desactivada la función del check cerúleo. Más debajo hablaremos de esta preeminencia… De cualquier forma, este comportamiento es la saco para obtener la ubicación de cualquiera como si de un GPS se tratara.
¿Cómo se puede ubicar a cualquiera con tan solo un mensaje?
Para aparecer, y antaño de dialogar de cómo acogerse más debajo, cálmate porque en este caso hablamos de un hallazgo realizado por unos investigadores, y no un caso de ataques o hackeos masivos específicos… aunque no descartamos que este método ya se use con fines de espionaje o pura lucha informática.
Para ubicar a cualquiera con mensajes, se explota el sistema de garra en tanto en cuanto las distintas fases de la teledifusión y la recibo presentan un desfase. Es sostener, que cuando enviamos un mensaje, WhatsApp y las otras aplicaciones tardan en mostrar el notificación de recibo, y eso es refleja de la distancia entre el emisor y el receptor.
Un equipo de investigadores ha descubierto que es posible inferir las ubicaciones de los usuarios de aplicaciones populares de transporte instantánea, con una precisión de hasta el 80%, mediante la realización de un ataque sincronizado. La secreto es valorar el tiempo que tarda el atacante en aceptar la notificación del estado de entrega del mensaje enviado al objetivo.
Lo preocupante, a excepción de, es que no es necesario desobstruir la aplicación para que esta registre la recibo, por lo que el ataque, sobre el papel, es práctico. Lo que es más, si tan solo tres atacantes enviaran sus respectivos mensajes a la vez, el resultado sería muchísimo más preciso, como un GPS triangulando una posición.
¿Cómo acogerse de un ataque así?
Repetimos que es un método muy poco conocido, y raro sería que cualquiera tratara de encontrarte de esta forma (por desgracia deben de existir formas más efectivas y truculentas), pero la secreto sería desactivar la opción que muestra los iconos de confirmación de pedido, recibo y leída. Excepto de aportarte más paz mental en algunas situaciones vitales, te permitirá evitar esta clase de triquiñuelas de espías.
Sí que es cierto, por parte de WhatsApp, Signal y Threema, que con solo aleatorizar estos registros tenuemente se lograría erradicar esta vulnerabilidad sin empeorar el servicio a los usuarios integralmente.
Imagen | Waldemar Brandt en Unsplash