Todos hemos sentido alguna vez la tentación y curiosidad de saber qué conversaciones y con quién, tienen nuestros amigos, familiares o pareja en sus redes sociales, esto es así, nos encanta saltarnos la privacidad, y ya desde los tiempos del difunto MSN Messenger tratábamos con modos más que dudosos de “adivinar” la contraseña de nuestros contactos. Como no, ahora con WhatsApp pasa exactamente lo mismo, queremos cotillear, y para ello recurrimos a aplicaciones que supuestamente nos mostrarán las conversaciones de quién le digamos, y de eso vamos a tratar en este post.

Y esto a qué viene, diréis, pues resulta que en los últimos tiempos han surgido distintas aplicaciones que tratan de aprovecharse de las inquietudes de la gente, prometiendo ser capaces de obtener las conversaciones de nuestros contactos, cosa que como ya avisa el twit, es totalmenteILEGAL, y como ahora veremos, una ESTAFA y totalmenteFALSO.

Una de estas aplicaciones es WhatsApp Spy, en la que para atraer al público, sus creadores proclaman: “Accede y lee conversaciones privadas de WhatsApp introduciendo el número de teléfono”.

Lanzan el anzuelo y sólo les queda esperar que los ingenuos usuarios, ansiosos por espiar a sus conocidos, piquen y manden un SMS obligatorio, necesario para descargar el programa, con el que automáticamente te suscribes a un servicio de mensajes premium a precio de oro. Después tan solo sería necesario introducir el prefijo y número de teléfono de “nuestra víctima” y como por arte de magia nos aparecería un archivo con todas las conversaciones, sencillo, rápido y MENTIRA. 

Cuando nos decidimos a descargarla nos aparecen una serie de enlaces que nos llevan a otra web en la que, previo paso por caja enviando un SMS, la podremos descargar, algo que nunca llega a ocurrir. Lo que sí sucede, es que con ese SMS nos hemos autosuscrito a otro servicio Premium, y cada mensaje que recibáis os engordará un poquito más vuestra factura a fin de mes. Un fraude.

En cambio, hace unos meses si existían aplicaciones como WhatsAppSniffer, que funcionaba de una manera un tanto diferente. Al instalarla en tu smartphone rooteado, lo que hacía era interceptar los mensajes que se producían bajo la misma red wifi a la que estabas conectado y te los mostraba. Eso sí, ésta debía cumplir unas condiciones de baja seguridad, como cifrado WEP, WPA o directamente abierta al público. Esta app llegó a estar disponible durante un tiempo en Google Play, aunque más tarde fue retirada y tras las actualizaciones de WhatsApp en materia de seguridad y cifrado de mensajes, finalmente dejó de funcionar.

Como veis, no existe ninguna aplicacióncapaz de espiar a nuestros contactos, y mucho menos de la manera que dicen esas aplicaciones, la mayor evidencia de ello la tenéis en la explicación que se da en el vídeo anterior, cuando habla de que han descubierto un código a través del cual acceden a la base de datos de WhatsApp para recuperar las conversaciones y bla bla bla; eso es imposible, ya que nuestros chats no se almacenan en los servidores de WhatsApp, si no que se guardan en un archivo local en nuestro propio móvil y por eso al cambiar de terminal, tendremos que importar ese archivo que previamente habíamos guardado, de otra manera, no nos aparecerían las conversaciones.

Fuente: El Androide Libre

En esta entrada, dentro de nuestra serie dedicada a Certificados Digitales, nos vamos a centrar en la estructura e implementación de los certificados.

Creo que antes de comenzar es preciso realizar una aclaración, sé que hemos estado hablando continuamente de certificados, la tecnología criptográfica que emplean, la gestión que realizan de ellos las autoridades de certificación, los dispositivos hardware para gestión de claves criptográficas, etc. Por otra parte, también hemos hablado de el establecimiento, normativa y responsabilidades de una CA, así como de los servicios que prestan. Sin embargo, aún no hemos hablado de la implementación de los certificados, es decir, como se construyen y que formatos estructurales tienen. Este punto es el objeto de la presente entrada.

Para definir y establecer el contenido y estructura que debe tener un certificado digital se establece el estándar conocido normalmente como X.509, aunque su nombre completo es “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, definido por el “Network Working Group” y definido en la RFC 5280. El estándar surgió originalmente en el año 1988, aunque la última versión vigente, X.509 v3, se aprobó en 2008.

La principal motivación de la definición de este estándar es la implementación de una Infraestructura de Clave Pública (en adelante PKI). Este hecho es fundamental, y es lo que distingue inequívocamente una clave criptográfica de un certificado digital. Las claves definidas por RSA únicamente son secuencias que permiten realizar el cifrado y descifrado de información, sin embargo el estándar X.509 establece parámetros para identificar al propietario del certificado, a su emisor (la autoridad de Certificación), fechas de emisión, caducidad, etc. Lo que nos lleva a pensar que sin este estándar nos resultaría imposible usar los certificados para, por ejemplo, firmar un documento electrónico.

Adicionalmente, este estándar también marca las directivas para la implementación de los mecanismos de validación que permiten a los usuarios de los certificados comprobar su validez en cualquier momento. Además, considera los conceptos de validación, rutas de certificación, revocación, etc. Esto nos da a entender que sin la definición de este estándar sería imposible establecer y operar una PKI.

Contenido completo en fuente originalSecurity Art Work I y II