Si hablamos de un programa de mensajería con el que poder estar en contacto con amigos y familiares, seguro que todos indicamos WhatsApp. Sin duda se ha convertido en el más utilizado en los últimos años. Ahora bien, si hablamos del más seguro, surgen discrepancias en ese sentido. Hay aplicaciones más orientadas en la privacidad y seguridad a la hora de enviar mensajes. Hoy nos hacemos eco de un descubrimiento realizado por un investigador de seguridad en el que demuestra cómo se puede divulgar la IP de un usuario con la vista previa de un link.
La IP de un usuario de WhatsApp, expuesta
Se trata de Rahul Kankrale, un investigador de seguridad web. En su perfil de Twitter ha mostrado su descubrimiento y cómo se puede divulgar la IP simplemente con la vista previa al compartir un enlace por WhatsApp.
Para ello simplemente utiliza un código PHP. Con esto logra revelar la IP de los usuarios de WhatsApp, así como la versión de la aplicación y guardar estos datos en un servidor. Los pasos a seguir, como indican en Medium, son los siguientes:
Paso 1
El primer paso para llevar a cabo esta acción es crear un archivo PHP y un archivo de registro en un servidor. Hay que añadir el siguiente código para la meta descripción:
<meta property=”og:description” content=”<?php
echo $_SERVER[REMOTE_ADDR]; $line = date(’Y-m-d H:i:s’) . ” – $_SERVER[REMOTE_ADDR]”;echo $line;
file_put_contents(’visitors.log’, $line . PHP_EOL, FILE_APPEND);?>” />
Paso 2
Una vez hecho esto, lo siguiente que tenemos que hacer es guardar este archivo PHP.
Paso 3
Posteriormente abrimos WhatsApp y escribimos el enlace que lleva a este archivo PHP que hemos creado. Una vez se genera la vista previa del link, podemos ver cómo aparece la IP, la captura, y al mismo tiempo la escribe en el archivo que tenemos alojado en nuestro servidor.
En este registro del servidor aparece la fecha y hora, así como la dirección IP del usuario. Si lo probamos en varias ocasiones, podremos ver cómo se van añadiendo a este archivo. Tanto la hora como la IP coincide exactamente igual en la previsualización del link y en el registro creado en el servidor.
En YouTube podemos ver un vídeo donde el descubridor de este fallo explica paso a paso cómo funciona. A continuación ponemos una captura de pantalla.
Desde WhatsApp han informado que, al menos de momento, no van a resolver este bug.
Problemas para las aplicaciones “seguras”
Ahora bien, ¿podemos hacer algo los usuarios para evitar este problema y que nuestra IP se filtre? Una buena solución pasa por utilizar una VPN. De esta manera, al navegar, estaremos ocultando nuestra dirección IP real. En un artículo anterior mencionábamos algunas de las peores opciones que podemos encontrar.
Parece que en los últimos tiempos han salido varios casos de aplicaciones fiables, pero con fallos de seguridad o privacidad. Recientemente publicamos un artículo donde explicábamos el fallo que había encontrado un estudiante de 17 años en el programa de mensajería Signal, conocido por ser uno de los que mejor preserva la privacidad de los usuarios. Ahora hay que añadir la divulgación de la IP de un usuario de WhatsApp a través del método que hemos explicado.