Ni WhatsApp ni Signal están “rotos” en lo esencial que el usuario suele asociar a seguridad: el cifrado de extremo a extremo sigue protegiendo el contenido de los mensajes. Pero la última alerta que circula en la comunidad de seguridad vuelve a recordar el talón de Aquiles más habitual en mensajería: los metadatos y, en este caso, los tiempos.
La noticia ha cogido tracción tras la aparición en GitHub de un proof of concept (PoC) que implementa las ideas del paper académico Careless Whisper, elaborado por investigadores vinculados a la Universidad de Viena y SBA Research. El objetivo del PoC es demostrar que, midiendo el round-trip time (RTT) de determinadas confirmaciones internas —esas respuestas técnicas que hacen que la app funcione y sincronice estados— se puede inferir si un dispositivo está activo, si permanece en reposo o si está offline. A medio plazo, el peligro no es “leer mensajes”, sino reconstruir patrones: horarios, rutinas y ventanas de actividad.
El problema no es el “visto”: es la señal que deja la infraestructura
En la cultura popular, la privacidad en WhatsApp se discute con frecuencia alrededor del “doble check azul”. Sin embargo, el trabajo académico insiste en que el vector más delicado no pasa por la confirmación de lectura, sino por las confirmaciones de entrega, que no se pueden desactivar por decisiones de diseño del protocolo. El paper sostiene que, con mensajes o interacciones cuidadosamente diseñadas para generar confirmaciones “silenciosas”, un atacante podría “pinguear” a un usuario sin que este vea una notificación evidente. A partir de ahí, el reloj hace el resto: variaciones en milisegundos pueden convertirse en una señal útil para clasificar el estado del terminal.
En la presentación pública asociada a la investigación, los autores ilustran un punto clave: cuando el teléfono está en uso (pantalla encendida), las confirmaciones tienden a emitirse de forma más inmediata; cuando está en reposo (pantalla apagada), aparecen retardos medibles. En entornos con varios dispositivos (móvil y clientes web/escritorio), la investigación también plantea que la coexistencia de sesiones puede aportar todavía más superficie de observación.
De la teoría al impacto: vigilancia de baja fricción y desgaste de recursos
El debate se vuelve más serio cuando se pasa del “esto es curioso” al “esto escala”. La investigación advierte de que el ataque puede automatizarse a alta frecuencia y que el requisito operativo es bajo: en el escenario descrito, bastaría con conocer el número de teléfono del objetivo. Eso abre la puerta a un uso problemático en casos de stalking, control coercitivo o vigilancia selectiva, incluso sin acceso a la cuenta.
Además del perfilado de actividad, la presentación de los investigadores menciona otra derivada: el agotamiento de recursos. Bajo determinadas condiciones, una campaña sostenida de interacciones podría forzar al terminal a procesar tráfico de forma continua. En su demo, los autores llegan a cuantificar consumos llamativos (por ejemplo, drenaje de batería y tráfico de datos por hora) y señalan una diferencia práctica: WhatsApp habría mostrado menos limitación de tasa en su experimento, mientras que Signal habría aplicado más fricción, haciendo el abuso más difícil.
¿Qué respuesta hay del lado de las plataformas?
Según ha publicado heise, el medio consultó a WhatsApp y Signal por la situación y por posibles medidas o plazos. En el caso de WhatsApp, la respuesta descrita por el medio no aportaría un calendario concreto ni aclararía los límites exactos de las defensas que ya existen. Signal, por su parte, no destacaría una opción específica capaz de mitigar el problema de forma directa para el usuario.
El punto central aquí es técnico y político a la vez: si el canal lateral se confirma como explotable en condiciones reales, la solución de fondo no pasa por “educar al usuario” (aunque ayuda), sino por cambiar el diseño: amortiguar o aleatorizar temporizaciones, endurecer rate-limits, introducir controles para interacciones desde desconocidos y reducir la utilidad de esas confirmaciones como señal estable.
Mitigaciones para usuarios y equipos de seguridad: útiles, pero parciales
Para un medio tecnológico, el mensaje práctico es doble:
- No es un problema de cifrado, sino de metadatos y comportamiento del sistema.
- Las mitigaciones actuales son incompletas, pero existen pasos razonables para reducir exposición.
WhatsApp incluye una función orientada a frenar abusos desde cuentas desconocidas: bloquear altos volúmenes de mensajes de cuentas no conocidas dentro de los ajustes avanzados de privacidad. Esto puede dificultar ataques de alta frecuencia desde números no guardados, aunque la propia plataforma no publica el umbral exacto y, por tanto, no se puede vender como “cura”.
También conviene evitar una falsa sensación de seguridad: desactivar recibos de lectura puede ser recomendable para privacidad cotidiana, pero la investigación sostiene que no basta para neutralizar este vector, porque se apoya en confirmaciones de entrega y otros mecanismos que siguen activos.
Para organizaciones (centros educativos, empresas, administraciones) el enfoque cambia: además de ajustar privacidad, conviene tratar la mensajería como parte de la superficie de riesgo y reforzar la formación sobre metadatos, no solo sobre contenido. La seguridad moderna no va solo de “qué dices”, sino de “qué señal emites sin querer”.
Preguntas frecuentes
¿Qué es un ataque por RTT en mensajería y por qué afecta a WhatsApp y Signal?
Es una técnica que se basa en medir el tiempo de ida y vuelta de confirmaciones técnicas. Si esos tiempos cambian según el estado del terminal, pueden servir como señal para inferir actividad, incluso con cifrado activo.
¿Sirve desactivar el “visto” en WhatsApp para evitar este tipo de seguimiento?
Mejora privacidad en el uso diario, pero la investigación indica que no protege frente a confirmaciones de entrega o respuestas internas que no dependen del “visto”.
¿Qué ajuste concreto puede ayudar en WhatsApp contra abuso desde números desconocidos?
La opción para bloquear altos volúmenes de mensajes de cuentas desconocidas en Ajustes → Privacidad → Avanzado puede reducir intentos repetidos, aunque no garantiza protección total.
¿Qué deberían implementar WhatsApp y Signal para cerrar el problema de raíz?
Cambios de diseño: más rate-limiting, reducción de confirmaciones explotables desde desconocidos y técnicas de “padding” o aleatorización de temporización para que el RTT no sea una señal fiable.
Fuente: Noticias sobre seguridad
