ESCUELA POLITECNICA NACIONAL

FACULTAD DE INGENIERIA EN SISTEMAS

Tecnologías de Seguridad

Tema: Aplicar el ciclo de vida de un ataque para el servicio de mensajería Whatsapp.

Nombres:

 Santiago Mañay
 David Peñaherrera
 Esteban Pérez
 Jhonatan Zuñiga

Fecha: 17 de Dic. de 15

Contenido
1 RECONOCIMIENTO ................................................................................................................ 1
2 EXPLOTAR EL SISTEMA .......................................................................................................... 2
2.1 INSTALACION o IMPLEMENTACION .............................................................................. 2
2.2 IMPLEMENTACION DE NUESTRO ATAQUE. ................................................................... 4
3 CONSERVAR EL ACCESO ........................................................................................................ 8
4 CUBRIR RASTRO..................................................................................................................... 8
5 Bibliografía .......................................................................................................................... 10

1 RECONOCIMIENTO

Para realizar este paso hemos decidido utiliza el método de la ingeniería Social hemos analizado
el sistema que vamos a atacar y el determinado es la Whatsapp.web, debido a que esta trabaja
de manera colaborativa con Whatsapp, para realizar este paso tuvimos que investigar acerca del
software.

 Whatsapp Web

Para que tener una experiencia aún más enriquecedora con WhatsApp, ahora puedes usar tu
cuenta en tu teléfono y en tu computadora. WhatsApp Web es una extensión de la cuenta en tu
teléfono móvil.

Los mensajes que envías y recibes en tu computadora y tu teléfono están sincronizados y puedes
verlos en ambos dispositivos. Si realizas una acción en WhatsApp en tu teléfono móvil afecta
WhatsApp Web, y cada acción en WhatsApp Web afecta a WhatsApp en tu teléfono. Por el
momento, WhatsApp Web solo está disponible para teléfonos Android, iPhone 8.1+, Windows
Phone 8.0 y 8.1, Nokia S60, Nokia S40 Single SIM EVO, BlackBerry y BlackBerry 10. [1]

**Es importante entender que WhatsApp Web no constituye otra cuenta WhatsApp. Cuando
usas WhatsApp en una computadora o en tu teléfono accedes a la misma cuenta en dos
dispositivos diferentes.

Requisitos para poder disfrutar de WhatsApp Web:

-Es necesario tener una cuenta WhatsApp activa en tu teléfono móvil.

-Es necesario mantener una conexión a Internet estable en tu teléfono y tu computadora.

-Es necesario usar la versión más actualizada de uno de estos navegadores: Chrome,
Firefox, Opera o Safari.

 Ingeniería Social

La Ingeniera Social la implementamos para poder obtener la confianza de una persona, para el
caso de nuestro estudio simularemos que la novia de nuestro amigo, una vez que la misma a
alcanzado el nivel máximo de confianza simplemente hará que su novio use la extensión de
Whatsapp (Whatsapp-Web).

 Ataque del día Cero

Dentro de nuestra investigación aplicamos el ataque del día cero debido a que en la versión actual
de WhatsappWeb no se ha logrado solucionar este fallo encontrado el cual nos permite mantener
una sesión abierta o remota para controlar los chats que podemos almacenar dentro del teléfono
y como la misma representa una falla que en la última versión que nos permite vulnerar la
seguridad, la confiabilidad y la privacidad.

2 EXPLOTAR EL SISTEMA

Como primer punto para poder explotar la extensión del servicio de mensajería WhatsappWeb
debemos saber cómo utilizar la misma, para este punto simularemos el uso de nuestra víctima
de la aplicación.

2.1 INSTALACION o IMPLEMENTACION

 Ve a web.whatsapp.com en tu computadora.

Se nos mostrara la siguiente pantalla en nuestro ordenador.

 Abre WhatsApp en tu teléfono.
.1. En Android: ve a la pantalla de Chats > Menú > WhatsApp Web.
.2. Nokia S60 y Windows Phone: ve a Menú > WhatsApp Web.
.3. En iPhone: ve a Ajustes > WhatsApp Web.
.4. En BlackBerry: ve a Chats > Menú > WhatsApp Web.
.5. En BlackBerry 10: desliza desde el borde superior de la pantalla > WhatsApp Web.
.6. En Nokia S40: desliza desde el border inferior de la pantalla > WhatsApp Web.

 Escanea el código QR en tu computadora con tu teléfono

2.2 IMPLEMENTACION DE NUESTRO ATAQUE.
Una vez realizado este paso procedemos a explotar el software como tal mediante el envio y
recepción de mensajes dentro del Whatsapp del afectado y que se vea reflejado en nuestro
ordenador que tiene la aplicación de whatsappWeb.

 Envió de mensajes

Desde nuestra aplicación web, podemos enviar mensajes y los mismos se pueden ver reflejados
en nuestro móvil
  Recepción de mensajes

Dentro de nuestra aplicación Web tenemos varias maneras de poder revisar la recepción de
mensajes sin que la persona que está siendo víctima pueda sospechar que está siendo espiada y
estas son:

1.Noticificacion dentro de la página web de whatsappWeb

2._ La segunda sin abrir la comunicación de la otra persona afectada WhatsappWeb nos
muestra notificaciones detalladas de cada una de las conversaciones en pequeños cuadros de
dialogo.
Nos podemos dar cuenta que para cada una de los dos casos anteriores podemos tendremos
acceso a toda la información en cada uno de los chats del whatsapp que ha utilizado el
whatsappWeb como extensión del suyo, es decir podemos revisar todo el historial en el cual se
almacenan las fotos, comentarios, notas de voz y todo

De esta manera podemos explotar al máximo la aplicación como se mostrará en cada una de las
imágenes siguientes, cabe aclarar que cada uno de los chats presentados se encuentran en el
whatsapp original de la persona afectada.

Además, una vez que nos hemos adiestrado loa suficiente en el uso de whatsapaWeb podemos
realizar las siguientes acciones.

- Revisar las imágenes que se han enviado y recibido

- Obtener Notas de voz.

- Obtener Video.
 - Obtener el número de los contactos.

3 CONSERVAR EL ACCESO
Para conservar el acceso dentro de la aplicación de whatsappWeb simplemente no tenemos
que hacer nada debido a que la sesión se mantiene abierta en la computadora que iniciamos
por primera vez.

Es decir, solo tenemos que entrar a web.whatsapp.com nuevamente desde el ordenador que
sincronizo con whatsapweb la primera vez, la sesión se mantendrá abierta y podemos seguir
espiando todas sus conversaciones.

**Esta es una falla que se les indica a los usuarios como iniciar sesión, pero nunca como cerrar
la misma.

4 CUBRIR RASTRO
Para cubrir el rastro dentro de la aplicación de whatsapp es muy simple porque podemos ir a la
configuración y cambiar la opción que nos indica marcar cuando un mensaje ha sido leído y por
tanto tendremos el control al 100% de todas las conversaciones sin que la persona afectada
sospeche que está siendo espiado:

Cambio de configuración de los mensajes para ocultar el rastro.

 ANALISIS CRITICO DE LA APLICACIÓN WHATSAPP Y WHATSAPP.Web

Dentro de nuestro experimento realizado pudimos observar que cada uno de los factores
que pueden afectar a la privacidad en el uso de la aplicación que permitirá que cualquier persona
tenga acceso a nuestras conversaciones, sin que nosotros nos demos cuenta con esto la
confidencialidad queda casi nula, nuestra privacidad queda expuesta en su totalidad debido a que
no tenemos control en cada una de las conversaciones y saber que datos son infiltrados.

El transmitir información que sea valiosa en esta aplicación puede representar un gran
problema, como nos podemos dar cuenta la seguridad con la que se trata o se valida usuario de
la misma es muy pobre o nula, además no existe notificaciones de inicios en otros lugares de
diversas sesiones.

RECOMENDACIONES

 Se recomienda no dejar expuesto el teléfono celular que tenga la aplicación de

whatsapp, en cualquier lugar expuesto debido a que puede representar el
momento exacto para que una persona interesada en la información y conozca
el uso de este método lo aplique y como vimos no podemos tener un control
absoluto en la misma.
 No confiarnos de las personas que manejan nuestro teléfono así sean amigos,
novi@ que puedan manipular el mismo hasta de técnicos en telefonía celular
porque desconocemos las intenciones de los mismos.
 Cuando deseamos terminar el uso de la aplicación web de whatsapp ir al
teléfono en el menú la opción de whatsapp web tendrá habilitada la opción de
cerrar sesión.
5 Bibliografía

[1] WhatsApp, «WhatsApp,» ©WhatsApp Inc, 2015. [En línea]. Available:

https://www.whatsapp.com/faq/es/web/28080003. [Último acceso: 18 Diciembre 2015].