Desde hace años, existe un tipo de ataque que expone la localización de cualquier usuario de WhatsApp, aunque para llevarlo a cabo es cierto que es necesario realizar lo que en el argot técnico llamamos un ataque dirigido.
Es decir, que alguien con los conocimientos suficientes quiere querer proactivamente exponer esta información de un usuario en particular. No vale, por tanto, con hacer este ataque masivamente.
Vamos a explicar en este tutorial cómo funciona el ataque, y cómo puedes defenderte.
Índice de contenido
¿Alguien puede saber tu ubicación real desde WhatsApp?
Empecemos por el principio.
Siendo estrictos, a no ser que el propio usuario comparta su ubicación en un chat, canal o grupo, esto no es posible.
Al menos, no con lo que venimos llamando la ubicación real. La que está triangulizada, con un margen de error de unos pocos metros.
Sin embargo, un perfil de WhatsApp puede dar mucha información:
- La foto de perfil puede mostrar algún lugar que sea reconocible.
- Las stories generalmente se suben en el momento de sacar la foto, y como pasa con la mayoría de usuarios, se suelen utilizar bastante sobre todo cuando la persona está fuera de casa, lo que puede darnos indicios de dónde estaba en ese preciso momento.
- Por último, es posible realizar ingeniería social contra esa persona para intentar descubrir dónde está, y que sea ella misma quien nos lo diga, haciéndonos pasar, por ejemplo, por un familiar o amigo y preguntándole directamente.
Y a todo esto súmale este tipo de ataque que explicaremos a continuación, y con el que, si bien no obtendremos la localización exacta, sí nos permitirá saber la zona en la que está la persona.
¿Te preocupa tu Seguridad y Privacidad Online?
Hemos diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Cómo pueden saber la localización aproximada de un usuario de WhatsApp
El ataque se basa en explotar una funcionalidad necesaria para realizar la carga de contenido web.
Cuando nosotros pasamos un enlace a otra persona en WhatsApp, el dispositivo de dicha persona, para poder mostrar los metadatos de ese enlace (es decir, previsualizar la imagen destacada, el título y a veces también la fecha u otros datos referentes al contenido de ese enlace), debe conectarse al servidor donde está esa web en particular.
Y al hacerlo, está obligado a exponer la IP. Un dato intrínseco a la conexión que hace ese dispositivo, y que lleva asociada la ubicación aproximada desde donde se realizó la petición.
¿Por qué hablamos entonces de ubicación aproximada y no de la real?
Pues porque la IP es un identificador que nos asigna la operadora de telecomunicaciones según el lugar desde donde nos conectemos.
Así, es posible saber dónde estaba la persona (a qué antena se conectó su dispositivo) cuando previsualizó el enlace.
Y, obviamente, también será posible hacerlo si la persona le da click.
- Esto, en zonas muy concurridas (por ejemplo, grandes ciudades) solo nos serviría para saber que dicha persona está en uno de estos barrios o en tal ciudad.
- Pero si la persona está por alguna zona bastante menos poblada, puede que directamente se pudiera saber con bastante exactitud dónde está, revisando qué pueblos o urbanizaciones cercanas hay que potencialmente podrían tener asignada esa IP.
Ejemplo de dos enlaces compartidos en un chat de WhatsApp. El primero no carga la previsualización del enlace, por lo que no expone la ubicación de la víctima a no ser que esta clique en él. El segundo, aunque no haga nada, ya la ha expuesto al administrador de la página (que, en este caso, es esta propia página web).
Qué necesitan tener los ciberatacantes para conocer la ubicación de la víctima
Por tanto, y quiero dejar esto muy claro, se trata de un ataque que expone parcialmente tu ubicación sin que tengas que hacer nada.
Es decir, solo por tener una cuenta activa en WhatsApp, ya es posible ser víctima de este ataque.
Sin embargo, y como te decía, es un tipo de ataque que no funciona masivamente, habida cuenta de que los cibercriminales tendrán que crear una página web que monitorice cualquier inicio de sesión, y enviar ese enlace en particular al usuario.
Se podría, por supuesto, expandir el ataque para que éste afectase a múltiples víctimas, pero entonces sería necesario o bien imponer algún control para segmentar desde qué terminal (qué usuario) está pidiendo esa previsualización… o bien enviarle a cada usuario una dirección web distinta, monitorizando por tanto a quién se envía cada una y qué IP están exponiendo.
En nuestra versión de WhatsApp (WhatsApp para negocios) aún no ha llegado, pero en la versión para usuarios ya debería estar disponible
Cómo podemos evitar exponer nuestra ubicación en WhatsApp
Afortunadamente, hace unos pocos días WhatsApp ha ofrecido un nuevo ajuste que permite bloquear este tipo de ataque.
Se trata, como seguramente ya hayas pensado, de bloquear la carga de la previsualización de enlaces.
Al no realizar dicha carga, la única manera de que el ciberatacante pueda saber dónde estamos es que nosotros PROACTIVAMENTE entremos en el enlace que nos ha enviado.
Ya no valdrá con, simplemente, recibirlo, puesto que a partir de que tengamos activa esta funcionalidad, ningún enlace nos mostrará sus metadatos (solo veremos el enlace como texto con capacidad de hacer click para abrir el navegador).
Este ajuste lo encontrarás en la configuración de WhatsApp > Privacidad > Avanzada > Desactivar vistas previas de enlaces.
Si crees que alguien con los conocimientos suficientes te está espiando, lo activas una vez, y ya te olvidas.
Fácil, sencillo, para todos los públicos.
No queríamos terminar sin recordarte que desde CyberBrainers estamos ofreciendo servicios de monitorización y escucha activa para perfiles preocupados por la privacidad.
Ponemos las máquinas a escuchar, y te daremos un reporte periódico de qué hay potencialmente expuesto sobre ti en Internet.
Y que, además, contamos con un curso de iniciación a la seguridad y privacidad que se realiza vía email y con vídeos, que no requiere conocimientos previos, y que tiene soporte directo con nuestro CEO, Pablo F. Iglesias.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.