Seguridad

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsApp Web es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

En un principio WhatsApp Web solo se podía usar desde terminales Android, pero la aplicación ha ido evolucionando permitiendo la compatibilidad con iOS. Esta limitación era debida a limitaciones en la API de iOS al manejar las aplicaciones en segundo plano, ya que no permitía mantener una conexión abierta a un servidor ni aceptar conexiones entrantes desde el navegador.


El modelo de funcionamiento de esta aplicación web contempla dos formas de uso:


  • Si comparten conexión WiFi el equipo y el terminal móvil, la conexión se establecerá del equipo al móvil mediante la WiFi, y del móvil a los servidores finales de WhatsApp usando la conexión de datos (o la misma conexión WiFi si no está disponible la conexión de datos).
  • En caso de que no compartan conexión WiFi, el equipo se comunica con servidores intermedios de WhatsApp a través de su conexión a Internet (sin pasar por el móvil). Estos servidores intermedios de WhatsApp contactan con el móvil a través de su conexión de datos, y finalmente el móvil envía los mensajes a través de su conexión de datos (u otra WiFI externa) a los servidores finales de WhatsApp.


En resumidas cuentas, la aplicación web no es más que una forma de control remoto sobre la aplicación de WhatsApp que funciona en el móvil. Es fácil darse cuenta de esto, ya que cuando el móvil pierde conexión a Internet, WhatsApp Web deja de funcionar al instante. Lo cierto es que simplifica bastante la gestión de la seguridad por parte de WhatsApp si te obligan a pasar por el móvil, y se aseguran de que el usuario no se desvincula de la aplicación móvil.

La segunda forma de uso (compartiendo WiFi) se puede controlar filtrando fácilmente a nivel de red, sin embargo la primera forma de uso es algo más complicada de controlar, y es más fácil su filtrado a nivel de los equipos de sobremesa de los empleados. Particularmente, es más complicado su filtrado si el móvil se conecte a los servidores finales de WhatsApp a través de su conexión de datos, en vez de usar la WiFi. Si hablamos de la primera forma, la complejidad, debemos considerar de que el tráfico de red no saldrá por nuestra conexión a Internet y la complejidad del filtrado aumenta.

No obstante, si controlamos la configuración de red de cada uno de los equipos, una solución sencilla para controlar ambas formas de uso sería bloquear la resolución de nombres del dominio ‘web.whatsapp.com’. Este dominio es el usado por WhatsApp Web, de forma que impediríamos efectivamente el acceso a la aplicación web. Una de las formas de hacerlo: Modificar el archivo ‘/etc/hosts’ en Linux o C:WINDOWSsystem32driversetchosts’ en Windows para que apunte a localhost (una forma clásica de impedir la resolución de un dominio).

127.0.0.1 web.whatsapp.com 

Habría que tener cuidado con las cachés de las que disponen los navegadores modernos, que en algunos casos guardan las resoluciones de los dominios, y aunque actualmente se haya apuntado el dominio a otra dirección, pueden seguir cargando la dirección antigua real. También existen algunas otras formas de llevar a cabo este bloqueo, como el uso de plugins, o el filtrado desde el propio firewall del equipo.


Fernando Ramírez
@fdrg21

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados
http://laboratorio.blogs.hispasec.com/2015/08/campana-internacional-de-fraude-por.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.