Una de las ventajas de WhatsApp (y otras aplicaciones de mensajería) frente a los SMS o los e-mails son sus famosos 'ticks azules', el símbolo que permite saber si cada mensaje enviado ha sido recibido y leído por el destinatario. Pero la misma tecnología que permite a WhatsApp ofrecer esta pequeña funcionalidad tan valorada por los usuarios también es la que ha generado un agujero de seguridad que facilita que la aplicación 'nos chive' la geolocalización del destinatario del mensaje. ¿Cómo es eso posible?

Un equipo de investigadores ha descubierto (PDF del paper académico) que es posible inferir la ubicación de otro usuario de WhatsApp con una precisión que puede llegar a superar el 80%. Y todo se basa en medir el tiempo que tarda el atacante (el emisor) en recibir la notificación de estado de entrega de un mensaje remitido al objetivo (el destinatario).

Así lo han logrado

Debido a que tanto las redes de Internet móvil como la infraestructura de los servidores de cada app de mensajería instantánea tienen características físicas específicas que dan como resultado patrones en el envío de mensajes, cada notificación tiene un retraso predecible que revela la posición del usuario.

Si, con antelación al ataque, se realiza una fase previa de mapeo, enviando mensajes a varias localizaciones ya conocidas, es posible calcular posteriormente una localización desconocida enviando mensajes al objetivo y midiendo el tiempo necesario para recibir las notificaciones de entrega.

En Xataka …