Existen varios mensajes transmitidos por el mismo WhatsApp que claman pueden decirte con quienes están hablando tus contactos, quien te tiene bloqueado, quien esta activo y cualquier otra información que se puede considerar "privada" de cada usuario. Al principio, supuse que dichos mensajes eran engañosos, por la forma en que eran distribuidos y mi confianza de que Facebook, la compañía dueña de WhatsApp, tomaría las acciones necesarias para proteger la privacidad de sus usuarios. Fue un duro golpe a mi confianza que esta clase de mensajes no sean del todo falsos (aun creo que son engañosos, pero en otro sentido).

WhatsSpy Public es una herramienta que te permite:

  • Ver quienes están en linea o fuera de ella en tiempo real
  • Registro del cambio del estado de los mensajes (recibido, recibido por el destinatario, leído)
  • Configuración de las configuraciones de privacidad de "Hora de útil. vez" en tiempo real
  • Cambios de la configuración de privacidad del mensaje de estado
  • Cambios de la imagen del perfil junto con los cambios de la configuración de privacidad

Básicamente, puedes configurar a que nadie sepa si estas activo, cual es tu estado y tu foto de perfil en "Nadie" de la configuración de privacidad, y usando esta herramienta cualquiera puede ignorar dicha configuración. Todo esto es conocido por Facebook/WhatsApp desde el 2015 y públicamente desde febrero del mismo año. El soporte para la herramienta fue terminado en abril del 2016 y el uso de la misma puede llevar a un bloqueo del numero de teléfono utilizado, el método todavía es viable para obtener información de los usuarios ignorando las configuraciones de privacidad de estos, incluso si estos no están en tus contactos. El autor terminó el soporte ya que la prensa dejó de cubrir la historia y que WhatsApp se rehúsa a arreglar el problema.

Mientras investigaba esto, se reporta de que el cifrado de punto a punto tan anunciado por WhatsApp puede ser utilizado por Facebook y otros para interceptar y leer mensajes cifrados utilizando un backdoor, como reporta The Guardian. La cifrado de punto a punto implementada por WhatsApp utilizando el protocolo Signal, permite a los usuarios tener comunicación segura entre estos al utilizar una llave, solo conocida por ambos. El backdoor vulnera esta característica al tener la habilidad de forzar a los usuarios que están fuera de linea a generar una nueva llave, sin conocimiento del emisor o el receptor y forzar al emisor a reenviar todos los mensajes con esta nueva llave, los cuales pueden ser luego interceptados.

El receptor no se entera del cambio de llave y el emisor solo lo hace si ha habilitado las advertencias sobre el cifrado en los ajustes, he incluso solo después de que los mensajes han sido reenviados, continua.

El problema fue reportado por Tobias Boelter en abril del 2016, incluyendo un mecanismo de como puede ser explotado. Básicamente, el atacante espera a que el teléfono de la victima este fuera de linea, luego este se hace pasar por la victima (engañando a los servidores de WhatsApp), a lo cual los clientes que le han enviado algún mensaje a la victima, sin conocimiento de esto, cifraran de nuevo todos los mensajes no enviados y se lo enviaran al atacante.

A todo esto, Facebook le responde al que realiza el reporte:

Nosotros conocemos de este problema y es posible que cambie en el futuro, pero por ahora no es algo en lo que estamos trabajando activamente.

Si necesitas un cliente de mensajería privada y segura, WhatsApp puede que no sea la mejor opción para esto.