Cómo espiar a WhatsApp de otra persona

por | enero 17, 2019

Ya no puedo seguirle la pista: todos los días me siento literalmente abrumado por los mensajes de personas que me preguntan cómo espiar la aplicación WhatsApp de otra persona .

Creo que es hora de volver sobre este tema y hacer balance de la situación. Así que intentemos entender si todavía es posible espiar WhatsApp, cuáles son las técnicas más «citadas» entre los ciberdelincuentes y -sobre todo- veamos cómo defendernos de aquellos que intentan acceder a nuestros chats sin permiso.

Encontrará todo lo que se explica a continuación. Le diré que sí, por desgracia todavía puede espiar en WhatsApp (aunque la operación es más compleja que hace algún tiempo) y puede defenderse eficazmente de los entrometidos aplicando medidas de protección sencillas a su smartphone. Por lo demás, siga las reglas más comunes del sentido común: no preste el teléfono a desconocidos, no deje su smartphone desatendido en lugares públicos y evite en la medida de lo posible el uso de redes públicas Wi-Fi (es mejor permanecer conectado a la red 3G/LTE del teléfono).

Espiar en WhatsApp con ingeniería social

Come spiare WhatsApp di un altro

En el mundo de Internet, como en la vida real, los peligros suelen venir de donde menos los esperamos.

Y así, mientras imaginamos un ejército de súper malos hackers dispuestos a violar nuestra privacidad lanzando ataques a los servidores de WhatsApp, en realidad, espiar nuestras conversaciones en línea podría ser una amabilidad para nuestros compañeros que se encuentran por casualidad en el bar, si no para nuestros conocidos.

Por otro lado, no necesita un experto en ordenadores para entenderlo: es mucho más fácil para alguien, con una excusa trivial, tomar posesión física de nuestro smartphone que para que los servidores de WhatsApp sean pirateados o los hackers, ocultos quién sabe dónde, intercepten nuestras comunicaciones.

Cuando se trata de la privacidad en WhatsApp, el social engineering (ingeniería social) es actualmente el mayor peligro. ¿De qué se trata esto? Te lo explicaré de inmediato. La ingeniería social es el conjunto de técnicas mediante las cuales las personas maliciosas pueden lograr sus objetivos manipulando la psicología de la víctima.

En otras palabras, es cuando un hacker logra apropiarse de su objetivo (en este caso el smartphone) engañando a la víctima con excusas más o menos triviales (por ejemplo, «Me quedé sin crédito y tengo que hacer una llamada urgente, ¿me prestarías un momento el teléfono? «”).

Pero, en realidad, ¿cómo se puede espiar el WhatsApp en otra persona con ingeniería social? Tomemos algunos ejemplos prácticos.

Robo de identidad a través de la Web de WhatsApp

Come spiare WhatsApp di un altro

Como le expliqué en una de mis guías anteriores, WhatsApp Web es un servicio gratuito que le permite enviar y recibir mensajes de WhatsApp en su PC utilizando su smartphone como «puente». Funciona en los principales navegadores web y no requiere ninguna configuración especial. Para utilizarlo, simplemente abra WhatsApp en su teléfono móvil y utilice la cámara para enmarcar el código QR que aparece en la pantalla de su ordenador. Eso es todo.

Pero lo que realmente merece la pena señalar es que WhatsApp Web almacena la identidad del usuario, lo que significa que puede acceder al servicio sin tener que volver a escanear el código QR, y funciona incluso cuando el smartphone no está conectado a la misma red Wi-Fi que el PC, siempre que esté conectado a cualquier red Wi-Fi o a la red de datos 3G/LTE del teléfono móvil.

Esto significa que si un atacante se apodera de su smartphone, inicia sesión en WhatsApp Web con él y deja activada la función Permanecer conectado para no tener que volver a escanear el código QR, puede espiar todos sus mensajes sin que usted se dé cuenta.

WhatsApp Web es muy «conveniente» para los maliciosos porque funciona no sólo desde un PC, sino también desde tabletas y smartphones, basta con instalar aplicaciones que simulan el acceso al servicio desde el escritorio o permiten la visualización del escritorio en el navegador.

Nota: lo mismo sería válido para el cliente oficial de WhatsApp para Windows y macOS, pero en ese caso el procedimiento a seguir sería innecesariamente más complejo para el atacante en servicio.

Aplicaciones de espionaje

Come spiare WhatsApp di un altro

Si deja su smartphone desatendido durante más de unos minutos, el atacante en servicio puede aprovechar para instalar aplicaciones espía en su terminal y espiarle en secreto.

Hay varias aplicaciones que te ayudan a conseguirlo. También hay que decir que las aplicaciones antirrobo (las que permiten localizar teléfonos perdidos) y los servicios de control parental tienen funciones que podrían utilizarse para capturar capturas de pantalla y supervisar la mayoría de sus actividades en su smartphone. Para más información sobre esto, lee mi artículo sobre cómo espiar en teléfonos Android.

Clonación de la dirección MAC

Come spiare WhatsApp di un altro

Otra técnica que los atacantes pueden utilizar para espiar WhatsApp es la clonación de la dirección MAC del teléfono de la víctima. Afortunadamente, sin embargo, se trata de una operación bastante larga y no está al alcance de todos: se necesita un mínimo de preparación técnica para realizarla.

Si nunca he oído hablar de ella, la dirección MAC es un código de 12 dígitos que identifica de forma única las tarjetas de red de los PC y, en general, los dispositivos que pueden conectarse a Internet.

Utilizando aplicaciones adecuadas, los «espías» pueden disfrazar la dirección MAC de su smartphone, de modo que coincida con la del teléfono de la víctima, e instalar una copia «clonada» de WhatsApp que informará de todos los mensajes de la cuenta original.

Esto sólo es posible después de haber desbloqueado el dispositivo a través de root o jailbreak e instalado aplicaciones como BusyBox y Mac Address Ghost en Android y SpoofMAC en iPhone. Pero esto es sólo el principio. De hecho, para obtener el «hit» hay que restarle el teléfono a la víctima, descubrir su dirección MAC (a través de la pantalla Información de configuración), cambiar la dirección MAC del teléfono, instalar WhatsApp y activar la aplicación utilizando el número de la persona a la que se va a espiar (en la que, por lo tanto, llega el código de confirmación).

¿Cómo protegerse?

Come spiare WhatsApp di un altro

A la luz de lo que se acaba de decir, es muy importante gestionar tu smartphone de forma concienzuda (no fingiéndolo al primero que pasa y no dejándolo desatendido en lugares públicos) y es aún más importante prevenir la violación de tu privacidad con algunos trucos como los que se enumeran a continuación.

  • Configuración de un PIN seguro: un PIN seguro puede eliminar a la mayoría de los delincuentes, ya que sin acceso al menú principal de su smartphone, no puede utilizar la Web de WhatsApp ni instalar aplicaciones espía. A continuación encontrará instrucciones para cambiar el PIN de su smartphone.
    • Si tiene un teléfono Android, vaya al menú Configuración > Seguridad > Bloqueo de pantalla y seleccione el elemento PIN (o Secuencia, si desea utilizar un gesto en lugar del código).
    • Si utiliza un iPhone, vaya al menú Configuración > ID y código táctil y seleccione Cambiar código.
  • Desactivar la visualización de SMS en la pantalla de bloqueo: al clonar la dirección MAC de su smartphone, un atacante puede activar WhatsApp en su teléfono utilizando su número. Sin embargo, para activar la aplicación, debe encontrar el código de verificación que se le entregará a través de un SMS a su teléfono móvil. Al desactivar la visualización de SMS en la pantalla de bloqueo, puede evitar que los atacantes vean el código de activación de WhatsApp sin desbloquear primero su smartphone (lo que es prácticamente imposible si tiene un conjunto de PIN seguro).
    • Para desactivar la visualización de SMS en la pantalla de bloqueo de Android, vaya al menú Configuración > Seguridad > Bloqueo de pantalla > PIN, establezca un PIN y elija ocultar el contenido confidencial.
    • Para desactivar la visualización de SMS en la pantalla de bloqueo del iPhone, vaya al menú Ajustes > Notificaciones > Mensajes y desactive la opción Mostrar en «Bloqueo de pantalla».
  • Compruebe las sesiones Web de WhatsApp: vaya a Configuración > WhatsApp Web y vea todas las sesiones Web de WhatsApp activas. Si encuentras a alguno de ellos «sospechoso», pulsa el botón Desconectar de todos los ordenadores y cualquier persona malintencionada que te estuviera espiando a través del PC perderá el acceso automático al servicio (se les pedirá que vuelvan a enmarcar el código QR).
  • Compruebe si hay aplicaciones espía: ¿sospecha que alguien ha instalado aplicaciones espía en su smartphone? Accede a la lista de aplicaciones de tu dispositivo y averigua si hay algo sospechoso en él.
    • Para ver la lista de aplicaciones instaladas en Android, vaya al menú Configuración > Aplicación > Todas y elimine todas las aplicaciones sospechosas. A continuación, vaya al menú Ajustes > Seguridad > Administradores de dispositivos y eche un vistazo a la lista de aplicaciones que tienen permiso para controlar el sistema. Si hay uno de ellos que no ha autorizado usted mismo, quite la marca de verificación de su nombre y desinstálelo.
    • Para ver la lista de aplicaciones instaladas en el iPhone, ve al menú Configuración > General > Uso del espacio e iCloud > Administrar el espacio. Si tienes un iPhone jailbreaked también puedes abrir <codeCydia y comprobar la lista de paquetes instalados para ver si incluyen los relacionados con la aplicación spy. También te recomiendo que marques *12345 en el marcador de tu iPhone y te conectes a las páginas localhost:8888 y localhost:4444 desde el navegador: si en tu iPhone hay instaladas aplicaciones espías, podrás acceder a su panel de control y luego desinstalarlas En los casos más desesperados, cuando sospeches que hay una aplicación espía en tu smartphone pero no la encuentres, la única solución viable es formatear el teléfono. Lo sé, es una medida drástica, pero también es la única efectividad. Si quieres saber más, lee mis tutoriales sobre cómo reiniciar el iPhone y cómo formatear Android.

Espiar en WhatsApp»esnifando» una red inalámbrica

Come spiare WhatsApp di un altro

Una de las técnicas más sofisticadas para espiar WhatsApp desde otra era hacer «sniffing» en redes inalámbricas, es decir, monitorizar los datos de una red Wi-Fi con software como Wireshark. Dije «lo era» porque esta técnica ya no debería funcionar, o al menos no debería ser tan efectiva como lo era hace algún tiempo.

A finales de 2014, WhatsApp comenzó a adoptar un sistema de cifrado «end-to-end»  llamado TextSecure, que debería complicar enormemente la vida de los espías. Este sistema se basa en el uso de un par de claves: una pública y otra privada. La clave pública se comparte con su socio y sirve para cifrar los mensajes salientes, mientras que la clave privada reside en el teléfono inteligente de cada usuario y sirve para descifrar los mensajes entrantes.

Gracias a esta tecnología (de la que el usuario no se da cuenta porque todo sucede «entre bastidores»), los mensajes viajan desde nuestros smartphones a los servidores de WhatsApp de forma encriptada, es decir, ilegible, y sólo pueden ser descifrados por los remitentes y destinatarios legítimos.

La única duda que podemos tener es la implementación de un cifrado de extremo a extremo: WhatsApp es una aplicación de código cerrado, no podemos controlar completamente su código fuente y, por lo tanto, no podemos saber si las fugas pueden dejar margen de maniobra a las personas malintencionadas.

Mi consejo, entonces, es que tengas cuidado. WhatsApp es razonablemente seguro, pero no podemos considerarlo totalmente inexpugnable. Es ideal para la comunicación entre amigos y colegas, pero no debe utilizarse para compartir información altamente confidencial (para ello, utilice soluciones dedicadas que garanticen el mayor grado de privacidad, como Signal).

A la luz de lo anterior, intente no conectarse a redes Wi-Fi públicas, utilice una contraseña segura para la red Wi-Fi de su hogar y…. bueno, no comparta secretos de estado en WhatsApp!

PRECAUCIÓN: Espiar las conversaciones de otros es un delito castigado por la ley. Este tutorial ha sido escrito sólo con fines ilustrativos y no asumo ninguna responsabilidad por el uso que usted haga de la información contenida en él.