En las últimas semanas, una nueva preocupación de seguridad ha capturado la atención de la comunidad tecnológica: el potencial para explotar los metadatos de las aplicaciones de mensajería como WhatsApp y Signal. Aunque el cifrado de extremo a extremo se mantiene intacto, la investigación ha puesto de relieve un área menos discutida pero igualmente crítica: los tiempos y metadatos que estas aplicaciones generan.
Un innovador «proof of concept» (PoC) ha emergido en GitHub, basado en el estudio académico titulado «Careless Whisper», realizado por investigadores de la Universidad de Viena en colaboración con SBA Research. Este PoC demuestra cómo el análisis del «round-trip time» (RTT) de ciertas confirmaciones internas puede revelar información sobre el estado del dispositivo de un usuario. La capacidad de inferir si un dispositivo está activo, en reposo o desconectado podría permitir a terceros reconstruir patrones de comportamiento que expongan horarios y rutinas, sin necesidad de acceder al contenido de los mensajes.
La conversación sobre privacidad en aplicaciones de mensajería suele centrarse en aspectos como los «checks azules» de WhatsApp. Sin embargo, este estudio académico señala una preocupación mayor: las confirmaciones de entrega, las cuales, por diseño, no se pueden desactivar. A través de interacciones meticulosamente calculadas, un atacante podría monitorear la actividad de un usuario sin que este lo perciba. Incluso minúsculas variaciones en el tiempo de respuesta podrían utilizarse para clasificar el estado del dispositivo.
La implicación de este hallazgo es significativa, especialmente considerando la facilidad con la que puede ser automatizado con solo conocer el número de teléfono de la víctima. Esto podría facilitar prácticas de acoso o vigilancia selectiva, incluso sin tener acceso a la cuenta de la víctima. Además, existe el riesgo adicional del agotamiento de recursos, ya que un ataque sostenido podría forzar a un dispositivo a procesar tráfico constantemente, afectando la duración de la batería y el uso de datos.
Aunque WhatsApp y Signal han sido consultados al respecto, la respuesta ha sido tibia y sin compromisos claros sobre cómo mitigar este problema de forma eficaz. Mejores prácticas de diseño, como la introducción de controles más estrictos sobre interacciones no solicitadas y la aleatorización de tiempos de respuesta, podrían ayudar a contrarrestar este tipo de ataques.
Para los usuarios, quedan algunas medidas de mitigación parciales. WhatsApp ofrece una función para bloquear altos volúmenes de mensajes de cuentas desconocidas, aunque no garantiza protección total. Desactivar los recibos de lectura mejora la privacidad diaria, pero no soluciona la problemática de las confirmaciones de entrega.
En el ámbito organizacional, es crucial tratar a la mensajería como parte del área de riesgo y educar sobre el manejo de metadatos. La seguridad moderna debe recordar constantemente que no se trata solo de lo que se dice, sino también de las señales que se envían, incluso sin querer.
