Viber, una aplicación de mensajería móvil que permite a los usuarios hacer llamadas telefónicas y enviar mensajes de texto e imágenes de forma gratuita, también cede un montón de datos de los usuarios a cualquiera que quiera escuchar.

Según investigadores de la Universidad de New Haven (UNH) en Connecticut, EE.UU., la aplicación de Viber envía los mensajes de los usuarios de forma no cifrada – incluyendo fotos, vídeos, garabatos e imágenes de ubicación.

Todos esos ricos datos de los usuarios también se almacenan sin cifrar en los servidores de Viber, en lugar de ser eliminados inmediatamente, y son accesibles sin credenciales, sólo con un enlace, dijeron los investigadores de la UNH.

Es la segunda metedura de pata criptográfica expuesta por los investigadores de la UNH en otras tantas semanas: el Grupo de Educación de Investigación Cibernética Forense de la UNH reveló el 13 de abril de 2014 que la aplicación de mensajería WhatsApp también regala los datos de ubicación de los usuarios en forma no cifrada.

Usando un PC con Windows como punto de acceso Wi-Fi, el equipo de la UNH fue capaz de capturar los datos enviados por un smartphone Android con las herramientas habituales de rastreo de tráfico, el mismo enfoque adoptado por la UNH en sus experimentos con WhatsApp.

En un vídeo publicado en el sitio web de la UNH y en YouTube, los investigadores demostraron la captura de los mensajes enviados entre dos teléfonos Android de prueba.

Los datos pueden ser interceptados por puntos de acceso envenenados, por usuarios malintencionados en la misma red Wi-Fi o en cualquier otro lugar de la red entre tú y Viber.

En el vídeo, uno de los investigadores dijo que los mensajes sin cifrar también pueden ser recuperados de los servidores de Viber por cualquiera que conozca la URL del mensaje:

Los datos se almacenan en el servidor de Viber de forma no cifrada. Tampoco se utiliza ningún método de autenticación, por lo que cualquiera que tenga acceso a estos enlaces puede mirar estos datos, recuperarlos y hacer lo que quiera con ellos.

Los investigadores, el doctor Ibrahim Baggili y Jason Moore, dijeron en una entrada de blog que informaron del fallo de seguridad directamente a Viber antes de publicar sus resultados, pero «no recibieron respuesta por su parte».»

En una declaración a CNET, Viber dijo que lanzaría una corrección pronto para Android y iOS, y dijo que el problema ha sido «resuelto»

Este problema ya ha sido resuelto. Actualmente está en control de calidad y la solución se publicará para Android y se enviará a Apple el lunes. A día de hoy no sabemos de ningún usuario que se haya visto afectado por esto.

El hecho es que una aplicación de mensajería online moderna no debería «arreglar» este tipo de errores – el cifrado debería haberse incorporado desde el principio.

Y a pesar de que Viber puede haber «arreglado» sus aplicaciones para intercambiar datos de forma segura ahora, no ha dicho nada sobre cómo abordar las inseguridades que la UNH encontró en la nube de Viber, donde se almacenan tus mensajes.

La compañía también enumera sólo Android y iOS como conseguir actualizaciones, dejando a los usuarios de sus numerosas otras plataformas soportadas en la oscuridad.

Eso incluye a los usuarios de Viber en el escritorio, a través del ecosistema Bada de Samsung, en varios sistemas operativos móviles de Microsoft, y en los teléfonos Blackberry y Nokia.

Con todo esto en mente, la afirmación de Viber de que «no tenemos conocimiento de un solo usuario que se haya visto afectado por esto» suena muy vacía.

Después de todo, la compañía no se molestó en disculparse por no detectar estos problemas en su propio control de calidad – y poner a sus clientes en un riesgo innecesario.

Aplicaciones móviles poco seguras y privacidad de los datos

Como viene siendo habitual en la nueva generación de aplicaciones de mensajería móvil -incluyendo WhatsApp, propiedad de Facebook, y Snapchat, la aplicación para compartir fotos y vídeos-, la seguridad y la privacidad de los datos de los usuarios parece ser algo secundario.

Aunque tanto WhatsApp como Viber han dicho que trabajarán para solucionar sus descuidos en materia de cifrado, en ocasiones estas jóvenes empresas han mostrado una actitud arrogante y desdeñosa hacia la privacidad y la seguridad de los datos.

Viber, fundada en 2010, ha tenido un par de incidentes de seguridad en el último año.

En julio de 2013, un investigador de seguridad consiguió utilizar las notificaciones emergentes de la aplicación Viber para saltarse la pantalla de bloqueo de un dispositivo Android.

Y en abril de 2013, la página de soporte de Viber fue hackeada por el Ejército Electrónico Sirio, aunque no se perdieron datos de los usuarios en el ataque.

El fundador de WhatsApp, Jan Koum, dijo que «el respeto a tu privacidad está codificado en nuestro ADN», después de que su compañía fuera comprada por Facebook por 19.000 millones de dólares en marzo.

Es un bonito sentimiento, pero WhatsApp ha cometido repetidos errores criptográficos que han dejado los datos de los usuarios vulnerables.

Otra aplicación de mensajería de rápido crecimiento, Snapchat, ignoró las advertencias de los investigadores de seguridad de que la aplicación permitía búsquedas ilimitadas de los números de teléfono de los usuarios, un fallo que llevó a un atacante a verter 4,6 millones de nombres de usuario y números de teléfono en línea después de que Snapchat desestimara el ataque como «teórico».»

Cuando se le pidió que compareciera voluntariamente ante una audiencia del Congreso sobre violaciones de datos, Snapchat se negó a testificar, lo que llevó a un senador estadounidense a decir que la compañía estaba «ocultando algo».»

Lo cual es irónico, ya que ocultar los datos de los usuarios de las miradas indiscretas no parece ser uno de los puntos fuertes de la compañía.

A pesar de las promesas que hizo a los usuarios de que sus mensajes privados «desaparecerían para siempre», Snapchat ha reconocido que los Snaps de los usuarios no se borran de inmediato de sus servidores o de los teléfonos de los usuarios.

Estas populares aplicaciones de mensajería pueden ser gratuitas, pero a costa de la privacidad de sus cientos de millones de usuarios.