Dos hackers españoles destapan las vergüenzas de Snapchat... pero la empresa disimula

Menudos fantasmas (por aquello de su logotipo)... A los responsables de Snapchat, el chat de los mensajes que se autodestruyen, se les llenaba la boca con la privacidad y la seguridad. Era el indudable reclamo del servicio para destronar a aplicaciones como Instagram (en materia de fotos) o WhatsApp (en materia de mensajería instantánea).

Casualmente, ambas están ahora en manos de Facebook, cuyo fundador trató de comprar la app de los mensajes supuestamente efímeros y todavía se pone tenso cuando alguien le recuerda su fracaso.

Al final ha pagado 19.000 millones por el rey de chats, pero si hubieran sido 3.000 por el fantasma mensajero hubiera dado lo mismo: las dos son prácticamente igual de vulnerables desde el punto de vista de la seguridad, aunque solo una de ellas la utiliza como argumento de marketing (y ya sabes cuál es).

No es lo único que tienen en común, por cierto. Ambas mantienen una relación complicada con Pablo San Emeterio y Jaime Sánchez (Seguridad Ofensiva), dos investigadores españoles que han hecho de explorar los fallos de las aplicaciones de mensajería instantánea su pasatiempo favorito. Por el día son expertos en seguridad que trabajan en el departamento de I+D de Optenet y en el Centro de Operaciones de Seguridad de Telefónica respectivamente, pero cuando cae la noche se adentran en el código de algunas de las apps más populares en busca de amenazas.

Y, por desgracia para el usuario, siempre encuentran algo interesante. Sin ir más lejos, el sábado presentaron en el congreso de seguridad informática Rooted CON sus últimos hallazgos sobre Viber, WhatsApp y, por supuesto, Snapchat. Del primero revelaron que los archivos multimedia se transmiten sin cifrado, del segundo que es posible falsificar los mensajes sin dejar rastro, y del tercero...

Bueno, la del tercero es una larga historia y merece que la contemos más despacio.

Todo comienza cuando Jaime y Pablo descubren que Snapchat utiliza 'tokens' de seguridad para comprobar la identidad del usuario sin obligarle a introducir su contraseña. De esta forma, en teoría, se reducen las posibilidades de que un atacante sustraiga el password original.

Cada vez que actualizas tu lista de amigos, añades un contacto nuevo o envías un 'snap', entre otras cosas, se genera un nuevo 'token' a partir de la contraseña y de otros datos, como la fecha y la hora. Como ya estarás imaginando, para que el sistema sea seguro se supone que el 'token' tiene que caducar, de tal forma que solo un usuario correctamente identificado podrá disponer de un 'token' nuevo y así seguir usando la app.

Pero en Snapchat no sucede así: los 'token' no caducan.

Una vulnerabilidad aparentemente tan sencilla como esta es lo que permitió a Jaime crear un pequeño código que enviaba 'snaps' a uno o más usuarios desde varios ordenadores a la vez, usando siempre el mismo 'token'. Teniendo en cuenta que 4,6 millones de nombres de usuario y números de teléfono de usuarios de Snapchat son públicos desde diciembre, no es difícil imaginar la jugosísima base de datos para enviar 'spam' de la que, igual que Jaime, podía disponer un atacante.

Y no solo eso. Además, si dirigía todos los mensajes enviados por su red de ordenadores hacia un solo usuario y éste utilizaba la app desde un iPhone, la avalancha de mensajes podía llegar a bloquear su terminal como si de un ataque de denegación de servicio (DoS) se tratara.

¿Te acuerdas lo que hacía Anonymous con las webs? Pues algo parecido. Mira el vídeo:

En Android la cosa era un poquito distinta: el teléfono no se 'colgaba', pero sí que iba más lento por culpa del tsunami de 'snaps' y dejaba la app inutilizada hasta el cese del ataque.

Por cierto, a todo esto estarás pensando... ¿Ha solucionado Snapchat el problema o sigue siendo posible enviar mensajes a granel con la técnica de Jaime y Pablo? Depende de la versión que escuches. La empresa afirma que ha corregido la vulnerabilidad, pero en realidad se trata de un simple parche.

Tal y como explica Jaime, “no lo han solucionado. Lo que han hecho es poner que cada dirección IP pueda hacer un número limitado de envíos en treinta segundos. Vale, pues ahora en vez de utilizar una dirección IP voy a utilizar cien”. Sigue siendo factible. En vez de arreglarlo, se han limitado a poner algunas trabas y a bloquear los usuarios e IPs que utilizaban Jaime y Pablo. He aquí las capturas de pantalla que lo prueban:

Ni pagado, ni agradecido. Los investigadores les ayudan a corregir sus fallos por amor al arte y ellos responden con evasivas, indiferencia o directamente rechazo. A la firma de seguridad Gibson le pasó lo mismo cuando trató de advertir acerca del posible robo de información personal antes de que se produjera la ya citada filtración de 4,6 millones de usuarios y números de teléfono.

La callada por respuesta o, aún peor, encubrimiento. Fíjate la diferencia entre el correo electrónico que Jaime recibió de Snapchat y el que le envió Apple para interesarse por el 'crash' de sus teléfonos:

¿Por qué tanta opacidad? ¿Por qué ese afán por ocultar sus fallos? ¿No sería más fácil reconocer –o incluso premiar– el trabajo de los investigadores? Si a Apple, que cotiza en bolsa, le interesa mejorar, ¿por qué Snapchat prefiere contratar abogados que 'hackers'? ¿Será que están protegiendo la empresa de cara a una posible venta? Como no sabemos contestar, mejor nos mordemos los labios como Zuckerberg.