viernes, julio 12, 2024

WhatsApp: Dos (o alguno más) "tips" de Privacidad y Seguridad para dificultar la vida a los (muy) malos

Hoy os quiero dejar un par de detalles de privacidad y seguridad en WhatsApp, que si los conoces genial, pero que si no los conoces te pueden ayudar. A ti y a los mayores, porque uno es para dificultar - que no limitar - la estafa de "Mamá, he perdido el móvil" usando llamadas con Voces Clonadas.
Como sabéis, le damos mucha caña a la privacidad, la seguridad, los leaks y las weaknesses de WhatsApp, de las que os hablo muchas veces por el blog, y de las que incluso publicó un libro nuestro compañero Luis Márquez, titualdo "WhatsApp INT(elligence): OSINT en WhatsApp" en la editorial 0xWord.

Nuevo libro de Luis Márquez en 0xWord.

La primera de las opciones de privacidad está para reducir la superficie de exposición de WhatsApp a la hora de recibir llamadas por esta app. Ya os hablé de esto hace tiempo con Telegram, donde cualquiera que conociera tu "userid" podría hacerte de llamadas de voz, pero en el caso de WhatsApp es un poco similar, y mi recomendación es evitarlo.

Figura 3: Entra en Privacidad -> Llamadas y ahí podrás bloquear
las llamadas que no sean de contactos de la agenda.

Esta es una opción que, a los mayores que les quieran hacer la estafa de "Mamá, he perdido el móvil", les va a dificultar hacerlo, porque no van a poder llamar. Así que si se lo bloqueas a tus mayores, mejor que mejor. Que les llamen sólo las personas que estén en sus contactos.

Figura 4: Bloquea las llamadas de "no contactos"

El uso de voces clonadas se está empezando a usar masivamente, y en breve va a ser tan fácil, que lo vamos a ver casi cotidianamente, así que entra en Privacidad -> Llamadas y bloquea las que no sean de contactos de la agenda. Con esta opción, además te quitas los dialers automáticos y los que hayan comprado tu número de teléfono en plataformas de venta de datos.
Esta opción de que no te llamen aquellos que no sean contactos, existe también para que no te agreguen a grupos de WhatsApp aquellos que no sean contactos, que permitía hacer el desbloqueo automático de cuentas bloqueadas usando un servicio intermedio, como fue nuestra PoC de "Desloquéame WhatsApp"

Por último, dos configuraciones sencillas de privacidad para que averigüen donde estás por un enlace, algo que se ha utilizado muchas veces. Esto se ha logrado por medio de diferentes técnicas, de las que he hablado en el blog muchas veces:
En todos estos casos se puede conocer aproximadamente dónde te encuentras, y por eso en las opciones de Privacidad -> Avanzado, puedes deshabilitar esto ocultando las previsualizaciones y utilizando los servidores de WhatsApp como intermediarios.

Figura 7: Ocultar tu dirección IP en WhatsApp

De todas estas cosas yo he hablado muchas veces, y tienes la charla de WhatsApp Intelligence (WhatsINT) : Jugando con leaks, y el artículo de "¿Cuánto acierta tu dirección IP dónde vives o dónde estás?" para que tengas más información de todo esto.


Por último, un par de notas más. Si quieres ver cómo un atacante puede automatizar todas estas estafas y ataques, te recomiendo el vídeo de la charla de (Web)ScrAPIficar & Weaponizar WhatsApp, y como segundo y último punto me encantaría que WhatsApp (y Telegram) permitiera también que no te enviaran menajes aquellas personas que no están en tus contactos.

Figura 9: (Web)ScrAPIficar & Weaponizar WhatsApp.

Y esto es todo lo que os quería contar hoy, unos pequeños tips de privacidad y seguridad, así como un refresco de cómo WhatsApp es una forma muy eficiente de atacar a las personas y a los empleados de las empresas. Tenlo presente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


1 comentario:

Paco Escriba dijo...

Pues si. Lo de que no se pueda impedir que te envíen mensajes personas que no están en tus contactos es increíble. La cantidad de spam que recibo de esta forma es increíble.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares