Suplantando identidades con Spotbros

Publicado: 27 noviembre, 2012 en Mobile
Etiquetas:, , , , ,

En busca del Whatsapp Killer

Desde hace unas semanas, todos los portales tecnológicos parecen haber enloquecido con Line y en más de una web ya la nombran como el Whastapp Killer. Yo, como buena friki digital que se precie, me la descargué para cacharrear un poco y ver qué tal funciona.

Me llamaba la atención, por encima de las chuminadas visuales que son los stickers, el tema de privacidad y seguridad. El control/paranoia en el que se han llegado a convertir los conceptos “última conexión” y “en línea” hace que cada vez quiera saber menos de Whatsapp (por lo menos hasta que habiliten para Android la opción de ocultar el estado, como bien tienen disponible en la versión para iPhone). Por otro lado, el concepto “seguridad” de Whatsapp deja bastante que desear. ¿Recordáis cuando la retiraron de la AppStore por cuestiones de seguridad? Pues parece ser que sus mejoras en este campo se redujeron a una simple encriptación.

El caso es que en algún que otro lado había leído que los mensajes que envías desde Line están completamente cifrados, pero sin citar fuente referente a este dato. No fue hasta que un amigo me dijo que no había encontrado información alguna en la propia aplicación que no me puse a buscar la fuente de este ¿rumor? En la propia web de Line no encontré nada sobre el cifrado que utilizan y mis nulos conocimientos técnicos para estas cosas hacen que no lo pueda averiguar por mi misma. Así que seguí la recomendación de este buen amigo y me descargué Spotbros, que parecía partir la pana en cuestiones de seguirdad.

Spotbros: producto nacional

Empezamos con buen pie: por fin una aplicación de este tipo desarrollada aquí. Indagando muy poco, enseguida encontré mucha información alabando el factor seguridad. De hecho, ellos mismos dicen diferenciarse de su competencia por ser los primeros que realmente se preocupan de verdad por la privacidad y seguridad del usuario y que todos los mensajes se cifran con AES 256 bits, lo cual garantiza la privacidad de los mismos.

Sin tener ni idea de estas cosas, al menos sonaba genial. Descargo la aplicación para Android, la instalo y creo una cuenta. Automáticamente registra mi agenda para ver cuáles de mis contactos ya usan esta aplicación y me ofrece, si quiero, spammear por Whatsapp a mis contactos para que sepan de la existencia de Spotbros (opinión personal: esto es un poco cochinote, ¿no?).

Llamadme malpensada pero lo primero que pensé al crear la cuenta fue “¿He tenido que meter manualmente mi número de teléfono y no me han pedido confirmación ni por mail ni por SMS para asociar mi cuenta a este número?”. Mosca detrás de la oreja. “¡Esto tengo que probarlo!”.

Testeando ando y… FAIL!

Desde mi jubilado y (casi) obsoleto iPhone 3GS (que actualmente tengo sin ninguna tarjeta SIM), he creado una cuenta en Spotbros con el número de teléfono y el nombre de mi hermano (con su consentimiento, malpensados) para ver qué pasaba. ¡Sorpresa! Automáticamente en la lista de contactos de Spotbros de mi Galaxy S3 ha aparecido el nombre de mi hermano, quien jamás ha entrado en esta aplicación. Voilà! Identidad suplantada desde un iPhone que ni siquiera tiene tarjeta SIM.

¿Cómo una aplicación que dice preocuparse por la seguridad y privacidad de los usuarios puede olvidarse de algo tan básico como comprobar que los datos de registro son verdaderos? En sus Terms & Conditions indican que no puedes utilizar los números de teléfono de otras personas directa o indirectamente sin su consentimiento. Esto es tener demasiada buena fe en la humanidad, me temo, pero imagino que con esto se lavan las manos del mal uso que puedan dar los usuarios de su aplicación.

Visto lo visto, no voy a utilizar más esta aplicación, pero no eliminaré la cuenta vaya a ser que algún iluminado quiera suplantar mi identidad por el simple hecho de que no exista cuenta asociada a mi número de teléfono.

En cualquier caso, espero que esta GRAVE deficiencia de seguridad se solvente en una próxima actualización y que podamos verificar las cuentas con un código enviado por SMS al número que estamos afirmando que es nuestro (Whatsapp será lo poco seguro que queráis, pero al menos este detalle lo tiene bien atado desde el primer día).

comentarios
  1. Mikel dice:

    Hombre, grave grave.. de que sirve eso? que yo me ponga el telefono (suponiendo que este libre y no sea ya un usuario de Spotbros) de alguien que se que el otro tiene su telefono para, despues ponerme su nombre y apellidos, su foto y hacerme pasar por el? Un poco rebuscado no? En Spotbros todo el mundo esta identificado por el SBCode no por el telefono… no le veo mucha utilidad real a esto que comentas salvo jugar con el movil de tu hermano como acabas de hacer :DDD

    • guaca dice:

      A mi me parece muy grave que tú puedas registrar una cuenta con mi número de teléfono y así poder suplantar mi identidad. Todas las personas que me tengan en su agenda de contactos y usen Spotbros, les aparecerá que tengo cuenta de Spotbros y cuando quieran chatear conmigo, ¡sorpresa! en realidad están chateando contigo. Si eso te parece poca utilidad real es que no has visto la de experimentos que hay con whatsapp para llegar a suplantar identidades con fines, digamos, poco éticos😦

  2. IkeaFamily dice:

    No sé si es un error… pero se hace raro ¿que gano poniéndome el teléfono de Mariano Rajoy?… de entrada nada… pero da para hacer el tonto un rato.

    En fin… no estaría de más que la verificación de teléfono exigiera el código del SMS, la de email, clickar el link de verificación, etc… aunque se utilice el SBCode como identificador único de usuario/grupo.

    • guaca dice:

      Mariano Rajoy no, pero podrías ponerte el nombre de alguien a quien quieras putear (creándote una cuenta con su número de teléfono) y que sus contactos, cuando intenten chatear con esa persona creyendo que se ha creado una cuenta en Spotbros, realmente estén chateando contigo. De igual modo, si tienes contactos en común con esa persona que quieras putear, directamente puedes contactar tú con ellos fingiendo ser esa persona. En fin, pueden parecer “chorradas”, pero para mí resulta algo bastante básico sobretodo si quieres posicionarte como “el primero que se preocupa por la seguridad y privacidad del usuario”. Empecemos por garantizar que las personas que importamos de nuestra agenda de contactos son quienes dicen ser.

  3. Mikel dice:

    A ver, A ver.. nos os volvais locos… Spotbros NO FUNCIONA COMO WHATSAPP. Los telefonos en primer lugar no es algo que aparezca puplicamente en ningún sitio. Y para que seas amigos, cada uno de vosotros teneis que tener el telefono del otro en la agenda. Si no, tiene que aceptar tu solicitud de amistad!!! Y para aceptarla, se va a basar en tu nombre o foto.. JAMAS por telefono ya que NO es información publica del usuario…

    Creo que os habeis hecho un lio con WhatsApp… Lo que decis seria como decir que en este foro, estoy suplantando la dirección de email que he puesto (falsa por cierto), por que no se valida. Pero tu cuando lees mi comentario es imposible que creas que soy mariano.rajoy at moncloa.es por que NO VES EL EMAIL. Me explico??????

    • guaca dice:

      Ya, el teléfono no aparece. Pero con que tenga tu teléfono en su agenda de contactos, Spotbros agregará la cuenta asociada a Spotbros que haya para tu teléfono (hayas creado tú u otra persona esa cuenta). ¿Qué puede pasar? Que efectivamente la persona que quiere suplantar tu identidad no tenga los teléfonos de tus contactos (obviamente) pero cuando esas personas quieran contactar contigo, en realidad estarán solicitando amistad a otra persona creyendo que eres tú (porque es la cuenta que hay asociada a tu número de teléfono aunque no se vea en ningún lado del perfil de usuario).

      No hablo de suplantar a Mariano Rajoy. Hablo de, por ejemplo, suplantar a mi exjefe y contactar con clientes/proveedores (de los cuales pueda tener el teléfono) para dejarle en mal lugar. O algo más cercano y más “inocente”, suplantar a un amigo y “putear” a otros amigos en común fingiendo ser él. Creo que una aplicación debería poder dar la seguridad de que este tipo de situaciones no se dará. Y eso pasa por verificar el mail/teléfono que estás utilizando para dar de alta la cuenta.

      • Mikel dice:

        Eso no pasa. Las coincidencias únicamente son bidireccionales. Si me pongo el telefono de alguien, no me llegan solicitudes de amistad de la gente que tenga ese telefono en la agenda. Sino que tu le envias solicitud de amistad a la gente de tu agenda de telefonos con el nombre y apellidos que has creado para cuenta falsa!!

        Asi que cuidado con suplantar a tu jefe y que les llegue a todos tu amigos de tu agenda legita una invitacion con el nombre de tu jefe! iba a ser un poco sospechos😄

        En cualquier caso estoy de acuerdo en que deberian validar no sólo el Telefono, sino tambien el email.

      • guaca dice:

        Te digo la segunda prueba que he hecho yo:
        1. eliminar contacto ALPHA de mi agenda de contactos.
        2. Crear cuenta desde spotbros con número de teléfono de ALPHA.
        3. Buscar desde la cuenta de ALPHA mi usuario guaca desde el buscador de spotbros (mediante número de teléfono).
        4. ALPHA solicita amistad a guaca.
        5. Aceptar amistad desde mi cuenta personal, porque soy así de ingenua y como por nombre y apellidos conozco a ALPHA (aunque no le tenga en mi agenda de contactos), le acepto.
        6. ALPHA puede iniciar un chat con guaca

        En fin, que pueden ser situaciones rebuscadas, pero la ingeniería social es muy peligrosa… Y si se pueden evitar situaciones así con un simple SMS, creo (IMHO) que merece la pena hacerlo.

  4. Mikel dice:

    A veces la gente se olvida de que Spotbros funciona con relaciones de amistad no como WhatsApp… tu no puedes escribir a nadie salvo que te acepte antes!! y cuando te escriben es como Facebook, vas a juzgar si es tu amigo o no por la foto o por el nombre no por el email ya que no está compartido…

    La unica excepción para que podais hablar es que los dos tengais el telefono el uno del otro, lo que reduce las posibilidades de hacer el mal… Basicamente tendrias que suplantar el telefono de alguien que este libre y que sepas que ademas otro (al que quieres tomar el pelo) tiene su telefono en la agenda. Entonces y solo, entonces te pones su foto, su nombre y apellidos y le escribes sin mandarle solicitud antes.. ahi si, se la pegas!! Pero igual que en FB no?

    • guaca dice:

      ¿Y no te parece grave querer posicionarte como el primero que se preocupa por la seguridad/privacidad del usuario cuando cualquiera que sepa tu móvil puede crearse una cuenta asociada a tu número de teléfono? Que sí, que partimos de la premisa de que no exista ya cuenta creada con ese móvil, pero esta aplicación está ahora empezando a crecer, aún no se ha popularizado como para que todo el mundo tenga una cuenta creada para ver “de qué va esto de Spotbros”.

      Ojo, que con esto no estoy en contra de la app. Me parece genial que sea 100% española y que se preocupen por el cifrado y seguridad de todo lo que envíes desde su aplicación. En cuanto solvente ese tema, cuentan conmigo como usuaria y prescriptora🙂

      • Mikel dice:

        En eso estoy totalmente de acuedo. Lo ideal sería que validasen el número. Pero ahi hay 2 opciones, o paga el usuario el SMS o lo paga Spotbros. Y ninguna de las 2 es buena. Supongo que por ahi irán los tiros. Si eres TuME (Telefónica), Line o WhatsApp puedes permitirtelo si eres una startup que esta empezando, enviar 500k SMS puede ser un deal breaker…

        Ahora bien para el email no hay escusa que valga, aunque los metodos puede ser trucados a más bajo nivel😀

      • guaca dice:

        Ya, es complicado el tema del pago del SMS, pero quizás sacrificar la validación de los datos les pueda acabar pasando factura😦

        Y validar sólo email cuando estamos asociando un número de teléfono, volvemos a lo mismo de siempre: me creo una cuenta de email falsa que asociar a la cuenta y valido lo que quieras y más.

        Pensando en voz alta y sin que sirva de nada (y saliéndonos completamente del tema), ¿ninguna operadora móvil en España estaría interesada en ofrecer a Spotbros el envío de los SMS de validación mediante algún tipo de acuerdo?

  5. Mikel, a mi me da la sensación que perteneces en la compañía. WhatsApp no empezó siendo el que es y valida a nivel mundial. Showy tampoco lo es y lo hace. Hay muchas formas de validar un dato de una persona, pero si te basas en un registro oneclick, has de pensar por el usuario, no en la buena fe de la humanidad como dice guaca.

    Esto es un fallo por todos lados, tenga o no que validarse la amistad como dices si no te tienen en la agenda… pero, mira tu, hay ciertos números que no son tán difíciles de conseguir y hacerte pasar por alguien de la agenda de otro:
    http://elpais.com/elpais/2012/11/27/gente/1354026875_280987.html

    Es un coste, si, pero a lo mejor han de perder cierta agilidad en el registro a cambio de securizar el acceso o la identidad de los usuarios. Esto es lo mismo como lo que pasaba con WhatsApp, que van y dicen que en su server están cifrados los datos, bastaría más, pero en el canal por el que van hasta el más toli los puede leer.

  6. oscar dice:

    No veo la alarma social por ninguna parte, en cualquier red social con mala fé puedes hacer cosas como estas, no se libra nadie. Me invento un mail con el nombre de un conocido, ingreso en Facebook, pongo su nombre y una foto suya de perfil y ale, ya tenemos suplantación..

    No hay que pensar en la buena fe de la gente pero tampoco creo que tengamos que pensar únicamente en la mala fé.

    Lo unico que he sacado bueno de este articulo es que me voy a hacer una cuenta en Spotbros para tener mi número registrado😉

    • No es tema de alarma social o no. Hay diferencias entre hacer las cosas bien o no, y más cuando lo vendes como tu baza más fuerte. Y porque los demás se tiren por un puente tu no lo haces ni es excusa para ello, no? Pues porque los demás no sean lo suficientemente seguros, no te exime de ello.

  7. oria dice:

    ¿Y has mirado que se pueda crear otra cuenta con ese número? Por confirmar que “la seguridad” es tan nefasta que hasta permite crear varias cuentas con un mismo número.

    • guaca dice:

      Pues no exactamente… He probado a crear otra cuenta con el mismo email, y me ha dado error por existir ya una cuenta asociada a ese email. Así que quiero creer que con el teléfono pasaría lo mismo🙂

  8. Manuel dice:

    La falta de seguridad, no sólo se limita a eso. Nada más iniciar su andadura, ya les avisé que se podía entrar sin más y los problemas que podía acarrear. Ni caso, debo tener abiertas como una docena de cuentas de las que solo utilizo dos. El resto fueron para demostrar lo dañino que podría ser un mal uso de dicho agujero.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s