Yuzi download

No, no os alarméis que Facebook no se lee vuestros mensajes que enviáis en vuestras conversaciones de WhatsApp, aunque si vigila con quién tienes las conversaciones. Esto se nota porque poco a poco Facebook va haciendo la integración entre los datos que tiene de los usuarios y los datos que de por sí tiene en la red social, con el objetivo de mejorar el funcionamiento de sus sistemas de inteligencia. Y se puede palpa en varios aspectos de la red social, como por ejemplo en la sugerencia de amigos que a día de hoy se hace ya en Facebook para lo que parece más que claro que utiliza también como referencia con quién tienes conversaciones en WhtasApp. Para contaros eso os traigo la historia que me describió un lector (¡gracias Avelino Domínguez!) que le había pasado con WhatsApp y Facebook.

La anécdota comienza con un descuido que alguna vez seguro que os ha sucedido. Consiste en que envíes por error un mensaje de WhatsApp a un número equivocado o antiguo o, en su defecto, que lo recibas. Esto es algo que entra dentro de lo posible cuando estamos hablando de teclear un nuevo número dentro del terminal por primera vez o dar de alta un contacto. En este caso nuestro amigo recibió un mensaje de una desconocida en su WhatsApp, y que, como se puede ver en la imagen, no estaba en su lista de contactos.

Si nos fijamos en la captura de la imagen se puede inferir información de la configuración de WhatsApp de la persona que envía el mensaje, que está lejos de tener configurado WhatsApp a prueba de balas, especialmente en cuanto a las opciones de privacidad de WhatsApp.

Como se puede ver, es posible acceder a la fotografía del remitente del mensaje sin que el destinatario lo tenga en sus contactos, lo que significa que la opción de compartir foto la tiene habilitada para todo el mundo o que la opción de visualizar la foto la tiene solo para sus contactos y ha agregado a nuestro protagonista como contacto - algo probable -.

Por supuesto, nuestro protagonista, como se puede ver en la captura de la Figura 2, no le contestó en ningún momento, pero más tarde, cuando se conectó a Facebook pudo ver que la red social le estaba recomendando como amigo a la misma persona que se había equivocado a la hora de enviar el mensaje. 

Es fácil darse cuenta de que es la misma persona porque, casualidades de la vida, no solo la persona que le envió el mensaje de WhatsApp tenía configuradas sus opciones de privacidad para que le mostrara su foto de perfil, sino que además había utilizado la misma foto en su perfil de Facebook.

Pues según cuenta nuestro amigo, parece evidente que mediante los datos de WhatsApp. Sabía que había una conversación en WhatsApp así que posiblemente se conocían por que buscaría su conexión de usuarios a nivel de Facebook y el motor descubrió que los usuarios de Facebook no eran amigos, así que se lo recomendó.  La pregunta es, ¿cómo conectó los usuarios de WhtasApp - números de teléfono -, con los usuarios de Facebook? Las respuestas pueden ser dos distintas, y probablemente Facebook utiliza las dos aproximaciones.

Como ya hemos visto en varios artículos, tu puedes asociar tu número de teléfono en tu cuenta de Facebook para tener un segundo factor de autenticación o para hacer uso de Facebook Messenger, esto, como vimos, puede utilizarse para desenmascarar cuentas de Facebook o para hacer una base de datos inversa de números de teléfono asociados a cuentas de Facebook. Esto le permite a Facebook tener la relación Facebook User -> Número de Teléfono.

Este es el caso del protagonista de esta historia, que tiene el número de teléfono asociado a su cuenta de Facebook, así que el 50% de la conexión ya la tiene hecha el motor de inteligencia de la red social.

Facebook es una platform App, es decir, es de las que más permisos requiere en el mundo de los dispositivos móviles. Esta es la lista de permisos que pide en Android, vista en nuestra plataforma Tacyt. Con estos permisos puede extraer información del dispositivo suficiente como para identificar un mismo dispositivo desde la app de WhatsApp y desde la app de Facebook, con lo que si el usuario tiene de Facebook tiene la app del móvil instalada en el mismo móvil desde el que usa WhatsApp puede tener la base de datos del cliente con la relación Número de Teléfono  -> ID Device o número de Telefónono -> Facebook User.

Figura 6: Permisos de Facebook en Android

Entre los permisos, se puede ver que tiene acceso a GET_ACCOUNTS, que puede permitirle acceder a las cuentas configuradas - incluso sacar el número de teléfono de otras apps que lo hayan usado como identificador - y READ_PHONE_STATE, que también puede ser utilizado para obtener ese número de teléfono.

Figura 7: PoC de acceso a número de teléfono con permiso READ_PHONE_STATE

Una vez que Facebook tiene asociado el número de teléfono en las dos cuentas en su base de datos de usuarios de Facebook y descubre que hay un mensaje - cifrado o no extremo a extremo - sabe que hay una conexión, así que aunque no "espíe" tus mensajes al estilo que la gente entiende que es espiar los mensajes de WhtasApp, pero sí que "espía" con quién tienes conversaciones. Hay que tener cuidado, porque esto abre muchas posibilidades para el doxing, sobre todo si resulta que utilizas tu número de teléfono en anuncios de contactos para adultos en los que preferirías cierto anonimato, ya que con dar tu número de teléfono a alguien o que alguien lo conozca, existen posibilidades de que Facebook le ofrezca tu perfil en la red social, así que configura bien la privacidad y seguridad de tu cuenta de Facebook. Y para completar esta noticia, lee esta otra que explica cómo evitar que Facebook oiga tus conversaciones delante de tu smartphone... que ahora lo hace.

Saludos Malignos!