domingo, 9 de agosto de 2015

Usuarios de Whatsapp, les recomiendo cambiar de número

El título de esta entrada puede sonar lo más desconcertante del mundo, y sin embargo, creo que será la única solución si lo que está sucediendo se sigue dando. Y todo debido a que se combinaron dos factores extremadamente improbables como una estafa de Whatsapp y la publicación de una vulnerabilidad grave en Android.
Para muchos es común ya el conocer sobre las estafas vía servicios populares. Nos tocó con Hotmail, en su época, y luego con Messenger, a donde a todos nos llegaban mensajes de familiares, amigos y conocidos, diciéndonos que iban a cerrar el servicio porque los servidores estaban saturados, y que la única forma de no perder nuestra cuenta era reenviando el correo a 10 personas más... Un poco ilógico, ¿no? Que nos pidan que saturemos el servicio un poco más para seguir usándolo porque está saturado. El caso es que cuando la gente empezó a ver el engaño dejaron de hacerle caso a este tipo de mensajes. Ahí fue cuando entraron en escena los virus de correo electrónico que se replicaban reenviando correos y mensajes con la misma redacción a todos nuestros contactos, y casi siempre sin intención o conocimiento de la persona cuyo terminal estuviera infectado. El propósito de esos mensajes inicialmente fue el de recolectar información, las direcciones de correo electrónico de personas comunes y corrientes con el ánimo de enviarles publicidad no-solicitada (spam), o de inscribirlos en servicios también no-solicitados con el pretexto de que la persona sí se hubiera registrado, o muchas otras prácticas deshonestas de enriquecimiento que, por mi parte, considero más ilícito que cambiar medicamentos esenciales por agua y harina. Estoy hablando de los años 1998 a 2000.

Ahora, han pasado 15 años y cientos de aplicaciones de mensajería que han aparecido y desaparecido, renacido y transformado, o simplemente se han olvidado, siguen siendo blanco de estos ataques, y esta vez la recompensa es mucho más jugosa. Ahora las aplicaciones de mensajería se utilizan cada vez más desde dispositivos móviles en los que conviven aplicaciones de correo electrónico, edición de documentos y planeación estratégica de empresas como nunca antes. Sólo imaginen lo que podrían haber hecho los directivos de Enron si hubiera tenido en sus manos la información personal de los jueces que dictaron sentencia cuando se presentó el escándalo que terminó con el cierre de la compañía, o lo que habrían podido ocultar de los medios amenazando a la gente en contra de British Petroleum en el asunto del derrame en el Golfo de México. En serio, una empresa con la información de otra puede hacer estragos o doblar tanto las reglas a su favor que quienes terminan perdiendo son los afectados y los usuarios.

Y adivinen qué: somos los dos últimos. En nuestro caso podemos tener nuestra información de empresa y nuestra información personal en un solo lugar, un teléfono celular medianamente moderno, pero al que no le prestamos la suficiente precaución sobre seguridad. Una persona con acceso a nuestro teléfono puede acceder a conversaciones con la familia, a planes de negocio con clientes potenciales, a estrategias y especificaciones de nuevos productos que todavía estén en desarrollo... Información que mal utilizada podría significar pérdidas millonarias para mucha gente, y el despido como mínimo en muchos casos, con su respectiva mancha en la reputación, del afectado. Y si esto te pone la cara pálida de temor ahora te la tendré que poner verde de enfermedad.

A finales del mes pasado se hizo pública una grave vulnerabilidad en el sistema operativo que utilizan cerca de 1500 millones de personas en el mundo desde tablets y teléfonos. Y esta vulnerabilidad potencialmente puede dar el control completo del dispositivo a una aplicación, pudiendo enviar o recibir información sin consentimiento o conocimiento del usuario, acceder a los contactos y a los registros y documentos que estén desprotegidos en los medios de almacenamiento (memorias SD, o partición interna), pero hay un detalle que hace a esta vulnerabilidad la más aterradora: no necesita que el usuario haga nada por su cuenta, sino que reciba un mensaje de texto multimedia o MMS, una tecnología que surgió para reemplazar los SMS de los celulares, y que es todavía utilizada cuando un dispositivo no tiene Internet inalámbrico pero sí cobertura de red celular. Sí, lo acabas de leer bien, es una vulnerabilidad que no requiere Internet, y que puede afectarte cuando recibas un mensaje de un desconocido, y que ni siquiera necesitas abrirlo para que te robe toda tu información. Ahora me dirás que eso no sucede, que ya los mensajes SMS y MMS no se utilizan casi, y tengo que decirte que "Estás en negación".

La tecnología SMS y MMS existe aún porque a diferencia de Internet puede ser usada en casos de emergencia y porque la cobertura de telefonía celular es todavía mayor y más sencilla que la de Internet WiFi, WiMax, o Internet por celular. Por esa razón está en tu teléfono, así no la utilices, pero un atacante sí que tiene intención de utilizarla y explotarla porque tiene mucho que ganar. Sólo le hace falta un ingrediente más a esta pócima que solo un retorcido gusto por el dinero fácil podría producir: tu número telefónico. Y ahora me dirás que no le darías tu número a un extraño, que sólo lo utilizas con tu familia, o que sólo recibes cosas de gente de confianza... Y te sigues negando. Hace tan solo unas horas recibí este mensaje vía Whatsapp:
"+56953920893 Hola soy Cristian Roy el director técnico  del whatsapp JUEVES YA ESTAMOS AVISADOS POR HOTMAIL, LO PASARON EN LA TELE POR LAS DUDAS!!
Hola a todos, parece que todas las advertencias eran reales ,
Si envías esta cadena a 18 diferentes de tu lista, tu ícono será azul y será gratis para tí.
Si no me crees ve mañana a las 6 de la tarde que se cerrará el WhatsApp  y para abrirlo tendrás que pagar , todo esto es por Ley.
Este mensaje es para informarles a todos nuestros usuarios, que nuestros servidores han estado recientemente muy congestionados, por lo que estamos pidiendo su ayuda para solucionar este problema. Requerimos que nuestros usuarios activos  reenvien este mensaje a cada una de las personas de su lista de contactos a fin de confirmar nuestros usuarios activos que utilizan WhatsApp, si usted no envía este mensaje a todos sus contactos de WhatsApp, entonces su cuenta permanecerá inactiva con la consecuencia de perder todos sus contactos. El símbolo de actualización automática en su SmartPhone, aparecera con la transmisión de este mensaje. Su SmartPhone se actualizará dentro de las 24 horas siguientes, contará con un nuevo  diseño y un nuevo color para el chat. Estimados usuarios de WhatsApp, vamos a hacer una actualización para WhatsApp de 23:00 p.m. hasta las 05:00 a.m. de este día. Si usted no envía esto a todos sus contactos la actualización se cancelará y no tendrá la posibilidad de chatear con sus contactos.
Whatsapp pasará a tarifa de pago a menos que seas un usuario frecuente. Si tienes al menos 10 contactos
 envía este sms y el logotipo se convertirá en rojo para indicar que eres  un usuario
Confirmado... Se nos acaba lo gratis Mañana empiezan a cobrar los mensaje por whatsapp a 0.37 centavos  Reenvia este mensaje a mas de 9 personas de tus contactos y te será gratuito de por vida fíjate y se pondrá verde la pelotita de arriba hazlo y veras
 Ya  whatsapp es gratis desde ahora, mandalo a 10 personas para reactivar tu servicio nuevamente sin costo para ti
AGREGUEN PARA MAS  INFORMACIO +56953920893"
El énfasis en negrilla lo pongo yo para resaltar lo que ya sabemos de este tipo de mensajes: Alarmistas, amenazan al usuario diciéndole que va a perder un servicio, y luego lo alientan diciéndole que haga algo y recibirá como recompensa un servicio adicional o algo por el estilo, y hacen énfasis reiterado en reenviar a todos los contactos. Típico mensaje de Spam de correo electrónico pero adaptado a nuestros tiempos, y es más fácil de descartar por mi filtro porque una compañía tan grande no dejaría pasar algo con tan mala ortografía y presentación, pero lo que me disparó la alarma es la última línea: "Agreguen para más información"... (pausa dramática)... Es que eso era lo único que le faltaba a mi historia de terror para convertirse en pesadilla viviente. Si quien me envió este mensaje cayó en la trampa de reenviarlo, ¿no será que también cayó en la trampa de agregar a ese falso director y le solicitó "más información" y no ha recibido respuesta? Ya el daño está hecho, porque cuando mandas un mensaje la otra persona recibe tu número telefónico, y ya está, le has dado el potencial para atacarte explotando la vulnerabilidad que te acabo de mencionar (y si dudas, busca Stagefright en la lista de vulnerabilidades de Android). Y eso pone muy en vista el mayor problema que enfrenta Android como plataforma y los fabricantes que lo utilizan irresponsablemente: la fragmentación.

Imagina esto: tienes un libro de texto para tus estudiantes de tercero de primaria y les vas a explicar las multiplicaciones. Les dices que abran el libro en la página 40 y la clase va muy bien. El siguiente año la editorial te ha enviado el mismo libro pero revisado, ahora las multiplicaciones empiezan en la página 55 y los ejercicios son diferentes, pero muchos padres no quieren comprar el libro nuevo y se quedan con el viejo; a tu clase llegan los estudiantes con dos libros diferentes y tienes que empezar a decirles a cada uno en qué página empezar y cómo deben quedar los ejercicios del libro por si los tienen malos. Al siguiente año vuelven a cambiar los libros, y la situación se repite, pero ahora tienes 3 libros a seguir, y cada vez habrá más. Las soluciones: obligar a cada padre a comprar un libro nuevo cada año, o dejar el mismo libro por varios años, con las consecuencias de que los ejercicios no serán los mejores, o las explicaciones podrían no estar al día. Traslademos esa explicación al mundo de Android y veremos no sólo que la editorial (Google) ha estado repartiendo nuevos libros cada año, sino que los maestros (fabricantes de celulares y otros dispositivos como Sony, Samsung, HTC, etc...) han estado incorporando sus propios cambios, y que no han cambiado los libros que utilizan los estudiantes antiguos. Muchos usuarios utilizamos el mismo terminal por varios años porque nos parece inaudito estar invirtiendo varias veces nuestro salario mensual en un aparato cada que sale un nuevo producto, sólo por estar a la moda, y sabiendo que nuestro dispositivo funciona perfectamente. Además, ¿a dónde irían a parar tantos dispositivos que compramos, si no es a la basura? No en todas partes hay centros de reciclaje y recuperación de componentes y metales preciosos, y tampoco es que sean muy eficientes los pocos que existen. Entonces realmente haríamos mal en reemplazar algo perfectamente bueno como un teléfono sólo porque cambió el sistema operativo, o porque el nuevo teléfono se ve más bonito (otra cosa que es relativa), así como haríamos bien en no destruir el papel del libro sólo porque el texto de referencia cambió.

Es imposible cambiar el contenido de un libro que ya está impreso, pero esto sí es posible en el caso del software, y es precisamente de lo que se tratan las actualizaciones y el formateo para cambio de sistema operativo que se conoce desde hace más de 20 años. Una persona puede reemplazar el sistema operativo de su computador por otro siempre que las especificaciones no indiquen lo contrario. Un computador con Windows XP puede llegar a correr Windows 7 si posee suficiente memoria, y casi todos los computadores con Windows 7 y 8 se pueden actualizar a Windows 10. En el caso de Linux... en general si tienes cualquier Linux puedes instalar cualquier Linux más nuevo, no hay problema porque sus creadores siguen apostando por la compatibilidad con hardware viejo dentro de sus capacidades, tampoco es que sigan soportando ese brazo robótico para cerveza que sólo vendió 3 unidades a finales de 2004 (es un ejemplo).

El problema con Android es que no es Google quien entrega el sistema operativo al comprador, sino que son los fabricantes de teléfonos quienes deciden de fábrica qué versión de Android vas a tener en tu teléfono, y son ellos quienes deciden si le van a dar actualizaciones o no. Y puedes decirme que puedes instalar la versión más nueva de Android en tu teléfono, pero muchas veces el proceso es extremadamente complejo, o termina en un fracaso colosal y un teléfono que sólo sirve de pisapapeles o para atarlo a la cola de un pez payaso y tirarlo al fondo del mar: el pez no se va a ahogar, pero seguro que se muere de hambre o de aburrimiento atado a ese peso muerto que llamabas teléfono. Sí, así de complicado se hace actualizar tu teléfono para tenerlo seguro cuando al fabricante no le da la gana de e$forzar$e por la $eguridad de $u$ cliente$.

Ah! Y volviendo al título de esta entrada, ya para cerrar, sólo me queda darte opciones para no ser afectado por este problema. La primera es usar tu sentido común: cuando recibas un mensaje alarmante primero confirma su veracidad que información en Internet hay mucha, y si no, hay gente que ya la ha buscado por ti o la sabe encontrar más rápido que tú o que yo, no estás solo o sola en este bote y entre usuarios tenemos que apoyarnos, y siempre trata de revisar la seguridad de tu dispositivo, aprende sobre él, y entiende los riesgos que corres al darle uso. La segunda es actualizar tu equipo, pero como ya te lo dije hace un momento, eso no siempre es posible y a veces se sale de tus manos, así que nos queda la opción de presionar a los fabricantes a que le den soporte a sus terminales y que dejen de sacar dispositivos nuevos porque sí, o que lo hagan con la responsabilidad de no abandonar a sus clientes de productos anteriores, y que traten de mantener al día con los parches de seguridad de Google para Android. La tercera es en caso de no poder actualizar (la tercera es la vencida), y es que por ahora desactives la opción de descarga automática de mensajes multimedia o MMS en tu terminal Android, aunque esto no es suficiente ya que la vulnerabilidad también puede ser explotada enviando un enlace malicioso y apelando a la inagotable curiosidad de nuestra especie, así que esto no te deja del todo seguro. Y ya como último recurso, si enviaste un mensaje al número indicado en ese mensaje, esa persona puede haber sido sólo un recolector y el ataque puede empezar desde otro teléfono o desde otro país, así que la única opción que te queda es precisamente... "cambiar de número".

No hay comentarios.:

Buscar entradas