Tema delicado aquel de que pudiesen ver nuestra última hora de conexión en WhatsApp que finalmente solucionaron (tras algunos años de funcionamiento). Pero hecha la ley, hecha la trampa, o mejor dicho hecho el fallo, porque una vulnerabilidad de WhatsApp permite acceder al registro de nuestra actividad precisamente.
Por suerte no es algo que resulte tan fácil como entrar a la conversación del contacto, tal y como se podía saber antes de que hubiese opción de ocultar esta información. Pero hacerlo tampoco requiere programas complejos o conocimientos demasiado altos de software, como ha demostrado un ingeniero de software de una manera simpática (aunque nos deje cierto sabor espeluznante al final).
Si WhatsApp es lo primero que abres y lo último que cierras, estás vendido
El que decidamos ocultar la información sobre nuestra última conexión no significa que la app deje de registrarlo. Además de las utilidades internas que pueda tener para el funcionamiento, podemos ver que por ejemplo en los grupos podemos ver quién recibe y lee nuestro mensaje, sin que esta información pueda desactivarse, como indicamos en uno de los 19 trucos de WhatsApp que recopilamos.
Pero según los hallazgos de Rob Heaton, por mucho que tiremos de las opciones disponibles para ocultar nuestra actividad esta información sigue disponible gracias a esta vulnerabilidad. Y demostró hasta dónde podría llegar alguien con los suficientes conocimientos técnicos y… El suficiente tiempo y dedicación.
Heaton planteó hasta dónde se podría llegar a explotar esta vulnerabilidad, suponiendo que un usuario es capaz de crear una extensión de Chrome para colarse en este agujero vía WhatsApp Web para observar la actividad cada 10 segundos. Cabe matizar que partiendo de este registro sólo se tiene acceso a la actividad en WhatsApp, ni hay imágenes ni otros datos, pero con un seguimiento exhaustivo se puede estimar cuándo el usuario se va a dormir o cuando se despierta, por ejemplo.
Lo que muestra el ingeniero es que sería muy sencillo crear esta extensión, la cual aprovecharía la comunicación de WhatsApp con el navegador, y que con sólo cuatro líneas de código y un ordenador estándar se accedería a la información a la vez que se podría almacenar.
Heaton quiso ponerse en el papel de este supuesto stalker pro un poco más y vio las posibilidades si el espionaje se extiende a otros contactos relacionados, pudiendo establecer pautas conjuntas y viendo cuándo probablemente estuvieron hablando entre ellos. Los gráficos que acompañan a la explicación no tienen desperdicio, son tan sencillos como entendibles (nada techie ni de código aquí).
Siendo chivatos de nuestros hábitos de sueño desde hace años
Como siempre ocurre en cuestión de la información sensible y privada, las consecuencias serán mayores o menores según el detalle y según a dónde o a quién vayan a parar dichos datos. Y en este caso lo que se puede lograr es una aproximación de un patrón de nuestra actividad no sólo en cuanto a uso de la app, sino de los tiempos de descanso durante la jornada o incluso nuestra pauta de sueño (deduciendo, claro), tal y como ya se vio que Facebook también lo permitía (aunque era algo más complejo).
Como en otras ocasiones en las que algún ingeniero, empresa o aficionado ha descubierto una vulnerabilidad, el publicarlo tiene como objetivo ponernos un poco en guardia a los usuarios, así como advertir a la empresa responsable. Algo que vimos por ejemplo con esta misma app y su problema con el spam, con las averiguaciones y comunicados del equipo de SecurityByDefault.
También se dan casos en los que hay alarma pero el peligro resulta no ser real, como cuando en The Guardian se habló de un agujero de seguridad que finalmente no era tal. El caso es que esta posibilidad existe como vemos en varias apps de mensajería y que por el momento no han solucionado.