En artículos anteriores ya tratamos en profundidad varias dudas habituales sobre el uso que se puede dar a una cuenta de WhatsApp.
En el primero, que titulamos «Cómo ver las conversaciones de WhatsApp desde otro dispositivo» repasamos todas y cada una de las maneras que tenemos de acceder al contenido de nuestra cuenta de WhatsApp desde fuera de la aplicación oficial instalada en nuestro smartphone.
Algunas, inmediatas, como el uso de WhatsApp Web o aplicaciones de terceros, y otras un poco más especializadas, como pueden ser las herramientas profesionales para sacar información OSINT de una cuenta de WhatsApp o los servicios de control parental/espionaje.
De hecho, dedicamos un apartado en particular a cómo saber si alguien estaba utilizando algunas de estas herramientas para espiarnos a nosotros.
En el segundo, con el título «Cómo recuperar mensajes de WhatsApp perdidos«, repasamos uno a uno todos los servicios a los que hoy en día tenemos para precisamente conseguir acceso a la información de una cuenta de WhatsApp donde previamente se haya borrado contenido.
Un problema muy habitual, que seguramente te ha pasado en más de una ocasión, y que según el caso (cuánto hace que borramos ese contenido, qué hemos hecho desde entonces…) puede o no tener solución.
En esta pieza vamos a repasar algunas de las dudas más habituales a colación de la seguridad y privacidad de nuestra cuenta de WhatsApp.
Y lo hago de la mano de una serie de preguntas que me pasaban los chicos de DetectivesPrive.
¡Vamos a ello!
Índice de contenido
¿Cómo saber si en mi celular está hackeado el whatsapp?
Es, de hecho, un tema del que ya hablamos en uno de los artículos previamente enlazados.
Para saber si alguien ha comprometido la seguridad de nuestra cuenta de Whatsapp, lo primero es que analicemos si nuestra cuenta empieza a hacer cosas extrañas (mensajes o chats borrados, notificaciones que desaparecen…).
Si alguien está accediendo a nuestras conversaciones vía WhatsApp Web o algún sistema similar, aunque marque como “No leído” la conversación, a nosotros nos habrá quitado la notificación del móvil. Y esto podría ser una alerta de que algo está pasando.
Además, en su día expliqué cómo funcionaban las herramientas de espionaje móvil, y una de sus principales barreras es que para poder funcionar necesitan permisos de accesibilidad que fácilmente podemos revisar.
Simplemente en Android, yendo a Ajustes > Permisos > Permisos de accesibilidad, y revisando qué aplicaciones lo tienen, y haciendo lo propio con el permiso de Superposición de imágenes, podemos identificar potenciales aplicaciones que podrían estar espiando nuestras conversaciones.
Es también recomendable tener desactivado (también en ajustes) la depuración USB (necesitas tener permisos de developer para poder activarlos) y el permiso de instalación de fuentes desconocidas en Android, ya que esto permite instalar algunas herramientas que no están en el market oficial de aplicaciones, y que por ende probablemente es que incumplen alguna normativa de Google.
Por último, dentro de Ajustes > Cuenta > Verificación en dos pasos, podemos definir que siempre que se intente acceder a nuestra cuenta desde otro dispositivo pida una contraseña. Contraseña que en principio no deberían saber a no ser que se la digamos al atacante.
¿Cómo saber quién me hackeó el whatsapp?
Esto ya es algo más complicado de identificar.
Lo principal que tienes que tener en cuenta es que para comprometer la seguridad y privacidad de WhatsApp es necesario que:
- O bien comprometan la seguridad y privacidad de nuestro dispositivo: Mediante alguna herramienta de espionaje móvil que saque pantallazos de nuestras conversaciones de WhatsApp o lea las notificaciones que WhatsApp envía al sistema.
- O bien tengan acceso a la cuenta de WhatsApp mediante algún ataque informático: Ataque que puede ser tan sencillo como que un conocido nos coja en un descuido nuestro teléfono para configurar el acceso desde otro de sus terminales, o tan complejo como un ataque dirigido, que requiere una planificación y elaboración previa.
En ambos casos lo normal es que, o bien durante unos minutos alguien físicamente nos haya robado el teléfono (en cuyo caso será alguien que seguramente conozcamos bien, ya que no solemos separarnos mucho de nuestros móviles), o bien nos ha enviado algo a lo que hemos hecho click y/o aceptado previamente (y en tal caso, esta persona podría ser potencialmente el atacante).
También hay que tener en cuenta que el atacante puede ser en realidad una víctima más infectada por ese mismo spyware, y con el que automáticamente o de forma manual un tercero ha usado su identidad digital para comprometer nuestra cuenta.
En estos casos lo recomendable es que si creemos que estamos siendo espiados nos pongamos en contacto con una empresa especializada en peritaje informático, como es el caso de CyberBrainers, o directamente nos pongamos en contacto con las autoridades del país (Policía Nacional y Grupo de Delitos Telemáticos de la Guardia Civil en el caso de España).
¿Qué aplicaciones hay para que no te hackeen el whatsapp?
Mira, más que aplicaciones las recomendaciones que daría a alguien en esta tesitura pasarían por:
- Contar con un smartphone que siga recibiendo actualizaciones periódicas de seguridad: En el caso de iPhone esto suele estar más o menos asegurado, pero en Android es normal que a partir del segundo o tercer año dejemos de recibir soporte de actualizaciones. Y un terminal no actualizado es un terminal vulnerable.
- Actualizar siempre todas las aplicaciones instaladas: Por el mismo motivo, de nada sirve tener a la última la versión del sistema operativo si no actualizamos las apps a su última versión, seguramente la mejor preparada para combatir a los cibercriminales.
- Celulares sin root ni jailbreak: Soy pesado con ello, pero es que cuando rooteamos o le hacemos el jailbreak a un móvil, lo que estamos consiguiendo es que éste sea más vulnerable a ataques. Así que NUNCA hacerlo.
- Bloquear cualquier instalación de fuera del market oficial: Otra de las recomendaciones que siempre damos a nuestros clientes. Esto en iOS (iPhone/iPad) es obligatorio (no lo puedes cambiar a no ser que le hagas el jailbreak), pero en Android aunque viene por defecto, podemos desactivarlo. La recomendación, por tanto, es no desactivarlo nunca, ya que es bastante más difícil que se cuele malware por plataformas como la App Store o por Google Play que el que lo haga desde otros markets de aplicaciones secundarios.
¿Cómo evitar un hackeo de whatsapp?
Además de todo lo anterior, conviene recordar que en los Ajustes de Privacidad y Seguridad de nuestra cuenta de WhatsApp (Ajustes > Cuenta > Privacidad y Ajustes > Cuenta > Seguridad):
- En todo momento desde este apartado podemos cerrar sesión en cualquier otro navegador al que previamente hayamos dado acceso (nosotros o un tercero), así como revisar en qué dispositivos hemos dado acceso anteriormente. Perfecto para eliminar cualquier acceso que nos hayan metido sin ser conscientes de ello.
- Dentro de Ajustes > Cuenta > Privacidad podemos definir si queremos que se nos muestre online o no a nuestros contactos o a todos, si queremos o no mostrar nuestras fotos o nuestras stories a terceros, la última vez que estuvimos online, la información del perfil, el estado… Incluso la confirmación (o no) de que hemos leído un mensaje que nos han enviado. Todo esto es información, y existen herramientas que ya mencionamos anteriormente que permiten aprovechar este tipo de información para conocernos mejor y que un potencial tercero podría explotar en nuestra contra, posiblemente mediante fraudes de ingeniería social o extorsiones varias.
- Dentro de Ajustes > Cuenta > Seguridad podemos activar el que nos avise si el código de seguridad de una conversación ha cambiado. Algo muy útil sobre todo para saber si nuestro contacto ha cambiado de smartphone o alguien ha comprometido la privacidad de esa conversación (si ese código cambia y ninguno de los dos hemos cambiado de dispositivo, puede ser que alguien haya accedo a dicha conversación). Además, en Ajustes > Cuenta podemos activar la verificación en dos pasos, como ya explicamos, para evitar ataques como los del SIM Swapping que podrían potencialmente hacer que perdiésemos el control de nuestra cuenta (usurpación de identidad).
¿Qué aplicación podemos instalar para proteger whatsapp de hackers?
Por el mismo motivo que he comentado anteriormente, más que instalar apps de terceros, recomendaría justo lo contrario.
A fin de cuentas, una aplicación es un vector de ataque más, y tenemos la suerte de que los sistemas operativos móviles actuales (siempre y cuando estén actualizados, recuerda) son de por sí bastante seguros.
Que cada vez es más difícil comprometer la seguridad y privacidad de nuestra cuenta de WhatsApp si no es, como decía, atacando a la persona (haciéndonos creer que estamos instalando algo que no es lo que dice ser) o bien robándonos temporalmente el terminal para que sea el propio atacante quien instale esa herramienta.
Tanto iOS como Android cuentan con sistemas de seguridad que operan como si de un antivirus se tratase. Si ven que alguna app hace algo raro, o tienen identificada mediante una lista negra que dicha app es realmente un spyware, automáticamente bloquearán su uso, metiéndola en un sandboxing para que no pueda hacer más daño, y alertándonos de ello.
Por supuesto, no son 100% efectivos (en seguridad el 100% de protección NUNCA existe), así que podemos, si queremos, acompañar esa protección con alguna aplicación de antivirus DE PAGO y de confianza (huye de las aplicaciones gratuitas).
Y sobre todo, utiliza el sentido común.
- Si alguien te dice que clickes aquí para conseguir X dinero de forma rápida, no piques. Casi seguro que es un timo que puede comprometer la privacidad y seguridad de WhatsApp o de otra aplicación de tu dispositivo.
- Si alguien te invita a que metas tus datos en una página de terceros, no lo hagas. Probablemente sea un timo.
- Si alguien dice ser el equipo técnico de WhatsApp y para evitar que te cierren la cuenta (o cualquier otra excusa) te pida instalar otra aplicación, no piques. Si de verdad WhatsApp necesita hacer algo, créeme que no te va a escribir un mensaje. Simplemente actualizará su aplicación y todos los usuarios recibiremos las mejoras de seguridad y privacidad en nuestra cuenta del WhatsApp.
En fin, que no caigas en los fraudes típicos, ya que suelen ser la puerta de entrada a hackeos más importantes.
Y recuerda, para terminar, que los «Hackers» no son los malos. Un hacker no deja de ser alguien tan apasionado de algo (de la tecnología, pero también puede ser de la cocina, o de la medicina) que es capaz de llevar esa disciplina a más allá de los límites a los que llegan el resto.
Los malos son los cibercriminales, y muchos de ellos, de hecho, ni tan siquiera son hackers (saben de informática lo justo y necesario como para utilizar alguna herramienta de espionaje comprada a un tercero, instalarla en las víctimas y sacar rédito económico de ella).
Artículos de esta serie:
- Cómo recuperar mensajes perdidos de WhatsApp
- Cómo ver las conversaciones de WhatsApp desde otro dispositivo
- Seguridad y privacidad en WhatsApp: Todo lo que deberías saber
Artículo previamente publicado en DetectivesPrivee (ES).
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.