WhatsApp no permite controlar quién puede acceder a tu nombre

Chema Alonso ( https://www.mypublicinbox.com/ChemaAl… ) explica que no hay opción en WhatsApp para controlar que tu nombre configurado en tu cuenta se envíe a todo el mundo al que envías un mensajes.

Aquí como los cibercrimianles lo pueden explotar y qué debes tener en cuenta para protegerte:

Y ahora le damos algo de protección a esa información. En WhatsApp puedes configurar las opciones de privacidad para que tu información más personal, es decir, tu fotografía, la información de última conexión – que servía para hacer mapas de uso remotamente como nosotros hicimos con Telegram -,  tu información de «About«, tu Estado – si usas las «stories» de WhatsApp – no se comparta con nadie que no esté en tu agenda de contactos. 

A esto, además, puedes configurar quién te incluye en Grupos de WhatsApp, que tiene que ver con el problema de «Desbloquéame» y el «Spam» de los que ya hablamos. Hasta aquí todo bien, pero resulta, que hay algo que no entra en esa categoría. Algo que no hay forma de controlar a quién, cómo y cuándo se comparte. Y es tu Nombre en WhatsApp. Y el problema es que no se puede controlar. Por alguna razón, WhatsApp comparte tu nombre con todo aquel al que envíes un mensaje una vez, esté en tu agenda de contactos o no lo esté, y no hay forma de evitar que lo haga.
Es decir, que si a alguien que se ha equivocado le has contestado «Te has equivocado«, le has enviado tu nombre de WhatsApp. A todo usuario al que le hayas escrito un mensaje. Y como digo, no hay opción de privacidad en WhatsApp para evitar esto.
Cómo sacar el nombre de los usuarios de WhatsApp
Visto esto, yo he estado usando esta característica para poder sacar información de mis contactos de WhatsApp cuando los tenía apuntados por un apodo, por un mensaje mnemotécnico o simplemente por curiosidad. El proceso es sencillo.
1) Vete al chat de WhatsApp de uno de tus contactos y deja WhatsApp abierto en esa pantalla.
2) Vete a los contactos de tu iPhone o Android y busca a ese contacto. Elimínalo.
3) Vuelve a WhatsApp y pincha sobre el número de teléfono de ese chat para ver la información del contacto.
4) Debajo del número de teléfono aparece el nombre el usuario sin que esa persona sepa qué hacer para evitarlo.

Claro, esta es una opción de accesibilidad muy chula, pero si el usuario no puede controlarlo es un leak de privacidad que puede ser utilizado malamente el problema puede ser grande. Primero porque no sabe que esto funciona así. Segundo porque no lo puede controlar Y el que conozca este truco lo puede usar en su favor, como hacen los magos.

Para ello, imagina que tú quieres saber quién se esconde detrás de un número de teléfono en un Doxing para hacer informe de Ciberinteligencia (OSINT) e investigar una persona o una identidad como explican Vicente Aguilera y Carlos Seisdedos en su libro, que es algo muy común en una investigación. El proceso en este caso con este leak es muy sencillo:
1) Dalo de alta en tus contactos de iPhone o Android

2) Búscalo en WhtasApp y mándale un mensaje de ingeniería social. 
«Perdona, hemos encontrado una cartera con un DNI y este número de teléfono. ¿Has perdido por casualidad tú cartera?».
3) Borra el contacto de iPhone o Android y ve a la info de ese chat en WhatsApp antes de que conteste. Verás que no sale el nombre de quién tiene ese número de teléfono.

4) Espera un mensaje de contestación por WhatsApp. Verás que aparece el nombre.

Lo que permitiría a una persona que se hiciera con el listado de números de teléfono, por ejemplo, contratados por una empresa, averiguar quién está detrás de cada uno de ellos, para preparar un ataque más elaborado o para hacerte una venta más dirigida, o como vamos a ver, robarle las cuentas a cada uno de ellos con Ingeniería Social y Spear-Phone-Phishing.
Spear Phone Phishing
Vamos a suponer un escenario de Spear-Phone-Phishing en el que queremos robarle las credenciales de acceso a un servicio a una persona, para ello queremos que nos de el Token de autenticación de WhatsApp para registrar su cuenta, o el Token de Verificación para cambiar una contraseña de un servicio.

Es decir, registramos el número de WhatsApp en un terminal y nos falta el paso de conseguir su Token de autenticación – ese que podríamos recoger del buzón de voz -, o imaginad que queremos recuperar la contraseña de AppleID o Google, o cualquier servicio donde se haya configurado el número de teléfono como forma de recuperar la contraseña. La conversación podría ser como sigue.
– «Hola buenos, días, ¿Es usted Pedro Martínez?»
Pues claro que saben que eres Pedro Martínez, ya lo han sacado con un número falso o un bot de WhatsApp e ingeniería social con el leak anterior, y ya tienen ese dato antes. Y ya, de momento, sabes que es una llamada para ti y te pones en otro modo.  Y ahora le damos el toque de Ingenieria Social que dinamite la protección que todos tenemos metiéndole un punto de nerviosismo extra a la persona poniendo en riesgo lo que más preocupa: Su dinero. 

Como decía antes, si te llaman por tu nombre a tu número de teléfono particular seguro que ya le haces más caso. Ahora, si esta información la completan, por ejemplo, sacando las iniciales de tus apellidos y sabiendo que tienes una cuenta en un banco, usando el truco de Bizum que os conté hace tiempo, el ataque es mucho más efectivo. Vamos a meterle el miedo en el cuerpo.
– «Sí, soy yo, ¿qué quería?»- «Le llamamos de la seguridad de pagos bancarios de su banco. Por motivos de su propia protección y seguridad vamos a grabar esta conversación. – «Señor Martínez, ¿ha hecho usted un pago hace 20 minutos por Bizum por valor de 500 €?»
Claro que no los ha hecho, es una trola. Pero como buenos magos tenemos datos que le han metido el miedo en el cuerpo. Sabíamos su nombre, su número de teléfono particular, sus apellidos – al menos las iniciales -, y sabíamos que usa Bizum. Y que le diga que hay 500 € que han salido de su cuenta es el acicate principal para que la víctima tenga un nuevo objetivo: Recuperar su dinero. El atacante ha alienado sus objetivos con los de la víctima. 
– «No, no, yo no he hecho ningún pago».
– «Tranquilo, señor Martínez, vamos a proceder a verificar que usted es el dueño de la cuenta y le daremos la opción de anularlo. Le vamos a mandar un mensaje con un código de seguridad desde la plataforma de pagos para que podamos garantizar que usted es quien dice que es. Le llevará a su WhatsApp/iPhone/Android».
En ese momento el atacante pide el código de verificación que quiera y le llega a la víctima. Si el atacante le quiere robar el WhatsApp, y le ha dicho que a la víctima le va a llegar por WhatsApp todo estará ok para el usuario cuando le llegue ese mensaje de WhatsApp. Lo verá normal. Si le quiere robar el AppleID y le llega desde Apple al iPhone, todo ok. Si le quiere robar la cuenta de Google y le llega un mensaje al Android desde Google, todo ok también. Y si es otra cuenta o servicio, el resto de la conversación es sacarle datos para luego poder robarle claves de acceso en tiempo real a sus sistemas, o lo que el estafador quiera, que los hay muy imaginativos. 

Al final, lo que os contaba al principio, es un sencillo leak de privacidad de WhatsApp que no entiendo porque no se puede controlar. Creo que WhatsAppdebería meter esa opción dentro de las opciones de privacidad como un selector. Además, es bastante peculiar porque la mayoría de los usuarios no son conscientes de que esto pasa, lo que lo hace más peligroso aún.  Os dejo la explicación en vídeo.

Supongo que, como sucedió con las opciones de los grupos de WhatsApp en Desbloquéame, acabarán metiendo esta opción de privacidad, pero mientras tanto, vigila qué información pones en tu nombre porque se la vas a entregar a todo el que envíes un mensaje de WhatsApp, lo tengas en contactos o no. Mientras tanto, toma todas las protecciones personales que puedas y ten cuidado con quién te envías mensajes.

Fuentes: elladodelmal