Un 'hacker' de 16 años, la peor pesadilla de Snapchat (y su mayor aliado)

En casa del herrero, cuchillo de palo. Snapchat, la aplicación de los mensajes efímeros que enarbola las banderas de la privacidad y la seguridad de los datos personales, despidió 2013 con malas noticias y no gana para disgustos en lo que va de 2014. El 25 de diciembre (fun, fun, fun) amanecíamos con un demoledor informe de Gibson Security: una vulnerabilidad en el buscador de amigos del chat permitía extraer 10.000 números de teléfono, con sus respectivos nombres de usuario, en solo siete minutos.

Un par de días después, Snapchat decía haber tapado el agujero. Los usuarios respiraron aliviados, pero llegó el 31 de diciembre y se les atragantaron las uvas. La web snapchatdb.info publicó una base de datos con más de cuatro millones y medio de teléfonos y nombres de usuario, obtenidos aprovechando la vulnerabilidad descubierta por Gibson. ¿La reacción de la empresa? Entonar el 'mea culpa', agachar la cabeza y prometer una actualización.

Aquí es donde el 'cazafantasmas' entra en juego. Su nombre es Graham Smith, vive en Dallas (EEUU) y tiene 16 añitos. Un niño prodigio de la seguridad informática que ha hecho de estudiar el código de Snapchat en busca de amenazas su particular y afanoso pasatiempo. El 3 de enero se puso en contacto con la compañía para hacerles saber que el episodio del robo de información se había cerrado en falso. No obtuvo respuesta.

Así que el día 7 decidió tomar cartas en el asunto. Se coló por el agujero del chat y obtuvo en cuestión de minutos el teléfono de Bobby Murphy, cofundador de Snapchat. Le llamó y saltó el contestador. Decidió escribirle un mensaje. La respuesta: mándame un email, que te abriré mi buzón. Lo hizo. Días más tarde se publicó la prometida actualización.

Buceó en el código y ahí seguía el problema: estaban pidiendo al usuario que verificase su número de teléfono para usar el buscador de amigos, pero la comprobación se efectuaba en la propia 'app' y no del lado del servidor. Volvió a escribir a Murphy. De nuevo lo 'solucionaron'. Otro parche. Smith se adentró una vez más en las entrañas de Snapchat y allí estaba: la enésima vulnerabilidad.

Esta sucesión de hechos se ha vuelto a producir al menos dos veces. Introdujeron la verificación del lado del servidor y no sirvió de nada, introdujeron un sistema de 'captcha' y tampoco. A día de hoy persisten los problemas. Es el cuento de nunca acabar.

Y te preguntarás, ¿por qué Snapchat no contrata al bueno de Graham? Si fuera tan fácil... Lo cierto es que tras contactar con Bobby Murphy, el 'cazafantasmas' fue entrevistado por uno de los ingenieros de la compañía a través de Google Hangouts. Fracaso absoluto. Smith se bloqueó y no fue capaz de resolver un sencillo reto de programación. Después, en la soledad de su cuarto, lo resolvió en cinco minutos. No olvidemos que tiene solo 16 años...

Smith ha aprendido todo lo que sabe de forma autodidacta. Todavía no está en edad de ir a la universidad y ya está compitiendo por un puesto de trabajo con los mejores licenciados de las universidades más prestigiosas del mundo. Eso intimida a cualquiera. Pero él no se ha venido abajo: mientras sus amigos hacen deporte o duermen, el seguirá persiguiendo al fantasma de las fotos que se autodestruyen. Por amor al arte.

“Mi objetivo es hacer de Snapchat el producto que dice ser”, confiesa en declaraciones a The Dialy Beast. “No trato de hacer enemigos. En cierto modo solo quiero trabajar con ellos”. Pero se encuentra con un muro de desconfianza. “Es difícil para cualquiera aceptar las críticas de un chico de 16 años”, admite. “Y eso es básicamente lo que yo estoy haciendo: decirles que tienen un fallo en su producto. A nadie le gusta eso”.

Y es que Smith no se conforma con señalar las vulnerabilidades de Snapchat; también ofrece soluciones. “No están dispuestos a ir tan lejos como sea necesario para arreglar su seguridad”, denuncia el joven. Si pusieran en práctica sus propuestas tendrían que rediseñar la 'app' hasta tal punto que las versiones antiguas, todavía instaladas en multitud de dispositivos, dejarían de funcionar, con el consiguiente riesgo de fuga de usuarios. Sin embargo, no temen que la gente se vaya al comprometida su privacidad. Cuestión de prioridades.