miércoles, 12 de julio de 2017

Cómo tener el doble check azul en WhatsApp cuando está deshabilitado: "leaks" de privacidad en WhatsApp

La herramienta de WhatsApp es muy popular en el mundo de las relaciones personales. Hoy explicamos dos pequeños leaks de privacidad en esta herramienta que muchos utilizan para confirmar que una persona ha visto los mensajes que se han enviado.

Estos dos tricks hay que tenerlos presentes para poder Proteger tu WhatsApp a Prueba de Balas, así que te dejamos los detalle.


Leak 1: El Grupo de un solo contacto

Una de las características que tiene el doble check azul - de confirmación de lectura de los mensajes - es que solo aplica a chats personales, pero no a chats en grupo. Es decir, que por mucho que quites el doble check azul de confirmación de lectura, en un grupo esto no aplica.

Figura 2: Deshabilitar las notificaciones solo funciona en los grupos

El leak de información puede aprovecharse de forma simple. Basta con que la persona que envía un mensaje se cree un grupo con el mismo nombre que la persona que lo va a recibir lo tiene dada de alta en la agenda. Si le pone la misma foto que usa en su perfil de WhatsApp, podría parecer a un destinatario, al menos temporalmente, que es el chat habitual.

Figura 3: Creando un grupo de WhatsApp con tu nombre en la agenda del destinatario
y con solo dos miembros, tú y el destinatario. Y tu misma foto de perfil.

Como la opción de desactivar el doble check azul no funciona con grupos, la persona que lo recibe no podrá evitar que el emisor del mensaje reciba la confirmación de la lectura. Para darse cuenta de que es un grupo (y por tanto hay doble check azul) hay que fijarse que debajo del nombre del grupo aparece el nombre de la persona. El de arriba es un grupo, el de abajo no lo es.

Figura 4: Aspecto de que vista de grupo y de chat directo

Se ve claramente que es un grupo una vez que se ha entrado, así que el truco solo funciona si el destinatario no conocía las opciones de la figura 2 en detalle, o si, simplemente, le pica la curiosidad por saber el porqué de ese grupo o los mensajes. Pero si entra, manda el doble check azul.


Bonus Track 1: Cómo saber el nombre en la agenda

Para conocer el nombre con que una persona tiene a otra dada de alta en la agenda, ya os conté que existe otro leak que permite descubrir los nombres en la agenda de contactos con un enlace malicioso, así que hay que tener mucho cuidado con los links que se pulsan.


Figura 5: Leak en WhatsApp que permite robar los nombres de la agenda del destinatario


Bonus-Track 2: Cómo eludir las opciones de previsualización

El doble check azul no se envía cuando el lector no ha visto el mensaje en la pantalla del chat. Muchas personas, avezadas en opciones de privacidad, utilizan las opciones de previsualización de WhatsApp en el sistema operativo iOS de iPhone o Android para evitar esta notificación, así como la ventana que muestra WhatsApp Desktop o WhatsApp Web

Figura 6: Algunas personas usan las previsualizaciones in-app (o en iOS o widget de Android)
para evitar que se sepa que leen los mensajes - incluidos los de grupo -.

Sin embargo, esas opciones de previsualización tienen un límite de caracteres, así que para evitar que el destinatario pueda acceder al contenido del mensaje, uno de los trucos que usan es escribir mensajes largos, en lugar de muchos cortos. Con esto, el destinatario está obligado a entrar en la pantalla del chat para acceder al contenido, y por tanto, si es de un grupo, se enviará el doble check azul.

Figura 7: Límite de texto que puede previsualizarse en WhatsApp Web/Desktop

Si se sabe el sistema operativo que tiene el destinatario del mensaje o si se sabe si está usando la app móvil o WhatsApp Desktop/Web, es más fácil calcular los límites de la previsualización de mensajes. Existen formas de saber si se están usando las apps móviles o la versión Desktop/Web, por ejemplo, porque en las apps siempre corrige las frases de los mensajes para empezar con mayúscula, y la versión Web/Desktop de WhatsApp no lo hace.

Leak 2: El mensaje de audio

En WhatsApp, la confirmación de lectura de un mensaje se puede evitar, pero no la confirmación de que un mensaje de audio se ha escuchado. Esto permite a la persona que envía un mensaje enviar un mensaje de audio - que puede estar incluso vacío - y que llegará al destinatario sin que este sepa su contenido. No hay nada que ver en la previsualización, solo que hay un mensaje de audio.

Figura 8: Cómo se ve en previsualización un mensaje de audio antes y después de ser escuchado 

Si el destinatario quiere acceder al contenido de audio, deberá hacer clic en la pantalla del chat, lo que obligatoriamente indicará que los mensajes anteriores han sido vistos si está en un chat de grupo, ya que se enviarán los doble check azul.

Figura 9: Mensaje enviado y no escuchado. El icono del micro sale en gris.

Si por el contrario el mensaje de audio está en un chat personal, cuando el destinatario haga play en el audio se enviará una confirmación de mensaje escuchado, lo que indicará la hora exacta en la que se escuchó, y por tanto, a la hora exacta a la que se visualizó la pantalla de chat junto con todos los mensajes de texto enviados antes. Incluso, se puede enviar un fichero de audio vacío solo como forma de conseguir el doble check azul.

Figura 10: Mensaje de audio en WhatsApp que ha sido escuchado. Manda el doble check azul
con el "played". Eso indica que también se han visto los mensajes anteriores.

Estos leaks de información que existen en WhatsApp pueden ser utilizados para que una persona dé información a un emisor sin querer hacerlo. O a lo mejor queriendo. Lo cierto es que si no quieres recibir mensajes de una persona porque de verdad no quieres ninguna comunicación por WhatsApp de ella, lo mejor es bloquearla y listo. Si quiere algo, que te llame o que te ponga un bonito y clásico e-mail sin confirmación de lectura truculenta.