Una herramienta de prueba explota Silent Whisper para deducir la actividad en WhatsApp y Signal con pings y latencia RTT. Conoce riesgos y medidas básicas.
© E. Vartanyan
Una nueva herramienta ha aparecido en la red y pone en evidencia la vulnerabilidad Silent Whisper, capaz de vigilar la actividad de usuarios de WhatsApp y Signal con solo un número de teléfono. No se trata de entrar en cuentas ni de leer mensajes: la técnica se apoya en el análisis de las respuestas técnicas normales de las propias aplicaciones, un enfoque que, por discreto, resulta inquietante.
El ataque se basa en medir el tiempo de respuesta de los acuses de entrega. WhatsApp y Signal responden de forma automática a los llamados 'pings', y un atacante puede analizar el tiempo de ida y vuelta (RTT) de esos paquetes. A partir de esas latencias, es posible deducir si un dispositivo está activo, conectado por Wi‑Fi o datos móviles, en reposo o completamente desconectado.
Investigadores en Viena describieron Silent Whisper con detalle el año pasado. El interés ha repuntado tras la publicación en GitHub de una herramienta de prueba de concepto firmada por un usuario llamado gommzystudio. El autor afirma que es posible enviar hasta 20 solicitudes por segundo sin activar notificaciones en el dispositivo objetivo, suficiente para trazar un retrato bastante preciso de la actividad de una persona.
También circulan en línea imágenes de gráficos analíticos que muestran cómo se interpretan estas mediciones. Los cambios de latencia delatan el estado y el modo de operación del dispositivo, lo que abre la puerta a una vigilancia discreta sin tocar nunca el contenido de los mensajes.
Los expertos señalan que la vulnerabilidad sigue vigente. Como medidas básicas, recomiendan limitar los mensajes de cuentas desconocidas y mantener las aplicaciones de mensajería actualizadas con rapidez: pasos pragmáticos que ayudan, aunque por ahora no eliminen del todo el riesgo.