{"id":26871,"date":"2023-11-29T15:10:59","date_gmt":"2023-11-29T21:10:59","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26871"},"modified":"2023-11-29T15:10:59","modified_gmt":"2023-11-29T21:10:59","slug":"nothing-chats-imessage-for-android-security-disaster","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/26871\/","title":{"rendered":"Nada ha funcionado con Nothing Chats"},"content":{"rendered":"<p>La aplicaci\u00f3n <em>Nothing Chats<\/em> es un servicio de mensajer\u00eda instant\u00e1nea creado por el desarrollador de un tel\u00e9fono inteligente bastante popular: <em>Nothing Phone<\/em>, otro \u201casesino del iPhone\u201d. El principal punto de venta de <em>Nothing Chats<\/em> <span style=\"text-decoration: line-through\">era<\/span> la promesa de brindar a los usuarios de Android la capacidad de comunicarse mediante iMessage, un sistema de mensajer\u00eda que solo estaba disponible para los propietarios de dispositivos iPhone.<\/p>\n<p>Sin embargo, se descubri\u00f3 casi de inmediato que <em>Nothing Chats<\/em> ten\u00eda una gran cantidad de problemas de seguridad y privacidad. Estos problemas eran tan graves que menos de 24\u00a0horas despu\u00e9s de su lanzamiento en Google Play Store <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours\/\" target=\"_blank\" rel=\"noopener nofollow\">la aplicaci\u00f3n tuvo que ser eliminada<\/a>. Analicemos esto con m\u00e1s detalle.<\/p>\n<h2>Nothing Chats, Sunbird e iMessage para Android<\/h2>\n<p>El servicio de mensajer\u00eda instant\u00e1nea <em>Nothing Chats<\/em> se anunci\u00f3 al p\u00fablico el 14 de noviembre de 2023 en un v\u00eddeo del conocido bloguero de YouTube Marques Brownlee (alias MKBHD). Este habl\u00f3 sobre c\u00f3mo el nuevo servicio de mensajer\u00eda instant\u00e1nea de <em>Nothing<\/em> ten\u00eda planes para permitir a los propietarios de un <em>tel\u00e9fono<\/em> <em>Nothing<\/em> (que est\u00e1 basado en Android) comunicarse con usuarios de iOS a trav\u00e9s de iMessage.<\/p>\n<p>Por cierto, recomiendo ver el v\u00eddeo de MKBHD, al menos para entender c\u00f3mo funcionaba el servicio de mensajer\u00eda instant\u00e1nea.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/ji5HwS3bhlU?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>El v\u00eddeo tambi\u00e9n describe brevemente c\u00f3mo funciona este servicio de mensajer\u00eda instant\u00e1nea desde un punto de vista t\u00e9cnico. Para comenzar, los usuarios deben proporcionar a <em>Nothing Chats<\/em> el nombre de usuario y la contrase\u00f1a de su cuenta de ID de Apple (y, si a\u00fan no tienen una, deben crearla). A continuaci\u00f3n, para citar indirectamente el v\u00eddeo, \u201cen alg\u00fan Mac mini ubicado en una granja de servidores\u201d, se inicia sesi\u00f3n en esta cuenta de Apple, despu\u00e9s de lo cual este ordenador remoto sirve como retransmisor, que transmite mensajes desde el tel\u00e9fono inteligente del usuario al sistema iMessage, y viceversa.<\/p>\n<p>Algo que hay que reconocer es que, al final del sexto minuto, el autor del v\u00eddeo hace <a href=\"https:\/\/www.youtube.com\/watch?v=ji5HwS3bhlU%23t=5m52s\" target=\"_blank\" rel=\"noopener nofollow\">hincapi\u00e9<\/a> en que este enfoque conlleva algunos riesgos graves. En efecto, iniciar sesi\u00f3n con tu ID de Apple en un dispositivo desconocido que no te pertenece, ubicado qui\u00e9n sabe d\u00f3nde, es una <a href=\"https:\/\/latam.kaspersky.com\/blog\/stranger-apple-id\/13880\/\" target=\"_blank\" rel=\"noopener\">muy, muy mala idea<\/a> por varias razones.<\/p>\n<div id=\"attachment_26873\" style=\"width: 1510px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231231\/nothing-chats-imessage-for-android-security-disaster-01.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26873\" class=\"wp-image-26873 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231231\/nothing-chats-imessage-for-android-security-disaster-01.jpg\" alt=\"Avance del servicio de mensajer\u00eda instant\u00e1nea de Nothing Chats.\" width=\"1500\" height=\"1000\"><\/a><p id=\"caption-attachment-26873\" class=\"wp-caption-text\">Las codiciadas nubes de mensajes azules de iMessage: la principal promesa de Nothing Chats.<\/p><\/div>\n<p>La empresa <em>Nothing<\/em> no ocult\u00f3 el hecho de que \u201ciMessage para Android\u201d no fue un desarrollo propio. La empresa se asoci\u00f3 con otra empresa, <a href=\"https:\/\/www.washingtonpost.com\/technology\/2023\/11\/14\/imessage-on-android-nothing-sunbird\/\" target=\"_blank\" rel=\"noopener nofollow\">Sunbird<\/a>, por lo que el servicio de mensajer\u00eda instant\u00e1nea <em>Nothing Chats<\/em> era un clon de la aplicaci\u00f3n <em>Sunbird: iMessage para Android<\/em>, con algunos cambios est\u00e9ticos en la interfaz. Por cierto, la aplicaci\u00f3n de Sunbird se anunci\u00f3 a los medios en diciembre de 2022, pero su lanzamiento completo para una audiencia general se pospuso constantemente.<\/p>\n<h2>Nothing Chats y problemas de seguridad<\/h2>\n<p>Inmediatamente despu\u00e9s del anuncio, <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothing-phone-says-it-will-hack-into-imessage-bring-blue-bubbles-to-android\/\" target=\"_blank\" rel=\"noopener nofollow\">surgieron las sospechas de<\/a> que <em>Nothing<\/em> y Sunbird enfrentar\u00edan graves problemas de privacidad y seguridad. Como se mencion\u00f3 antes, la idea de iniciar sesi\u00f3n con tu ID de Apple en el dispositivo de otra persona es muy arriesgada, porque esta cuenta brinda un control total sobre una cantidad significativa de informaci\u00f3n del usuario y sobre los dispositivos en s\u00ed a trav\u00e9s de la funci\u00f3n de Apple <em>Find My.<\/em><\/p>\n<p>Para tranquilizar a los usuarios, tanto Sunbird como <em>Nothing<\/em> afirmaron en sus sitios web que los inicios de sesi\u00f3n y las contrase\u00f1as no se almacenan en ning\u00fan lugar, que todos los mensajes est\u00e1n protegidos por cifrado de extremo a extremo y que todo es absolutamente seguro.<\/p>\n<div id=\"attachment_26874\" style=\"width: 1898px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231405\/nothing-chats-imessage-for-android-security-disaster-02.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26874\" class=\"wp-image-26874 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231405\/nothing-chats-imessage-for-android-security-disaster-02.png\" alt=\"Garant\u00edas de seguridad en el sitio web de Sunbird.\" width=\"1888\" height=\"720\"><\/a><p id=\"caption-attachment-26874\" class=\"wp-caption-text\">El sitio web de Sunbird confirma la seguridad y la privacidad de iMessage para Android, as\u00ed como el uso del cifrado de extremo a extremo (spoiler: esto no es cierto)<\/p><\/div>\n<p>Sin embargo, la realidad estaba muy lejos incluso de las predicciones m\u00e1s esc\u00e9pticas. Una vez que la aplicaci\u00f3n estuvo disponible, no se tard\u00f3 en demostrar que no cumpl\u00eda en absoluto con sus promesas sobre el cifrado de extremo a extremo. Y, peor a\u00fan, todos los mensajes y archivos enviados o recibidos por el usuario <a href=\"https:\/\/texts.blog\/2023\/11\/18\/sunbird-security\/\" target=\"_blank\" rel=\"noopener nofollow\">se enviaban por <em>Nothing Chats<\/em> en forma no cifrada a dos servicios a la vez<\/a>: la base de datos de Google Firebase y el servicio de supervisi\u00f3n de errores Sentry, donde los empleados de Sunbird pod\u00edan acceder a estos mensajes.<\/p>\n<div id=\"attachment_26875\" style=\"width: 1320px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231540\/nothing-chats-imessage-for-android-security-disaster-03.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26875\" class=\"wp-image-26875 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231540\/nothing-chats-imessage-for-android-security-disaster-03.png\" alt=\"Garant\u00edas de seguridad en el sitio web de Nothing.\" width=\"1310\" height=\"758\"><\/a><p id=\"caption-attachment-26875\" class=\"wp-caption-text\">La secci\u00f3n de preguntas frecuentes en la p\u00e1gina oficial de Nothing Chats tambi\u00e9n menciona el cifrado de extremo a extremo de forma expl\u00edcita.<\/p><\/div>\n<p>Y, como si eso no fuera suficiente, no solo los empleados de Sunbird, sino <a href=\"https:\/\/9to5google.com\/2023\/11\/18\/nothing-chats-sunbird-unencrypted-data-privacy-nightmare\/\" target=\"_blank\" rel=\"noopener nofollow\">cualquier persona interesada<\/a> pod\u00eda leer los mensajes. El problema era que la aplicaci\u00f3n transmit\u00eda el token requerido para la autenticaci\u00f3n en Firebase a trav\u00e9s de una conexi\u00f3n no protegida (HTTP) y, por lo tanto, pod\u00eda interceptarse. Despu\u00e9s, este token proporcionaba acceso a todos los mensajes y archivos de <em>todos los usuarios<\/em> del servicio de mensajer\u00eda instant\u00e1nea; como se mencion\u00f3 antes, todos estos datos se enviaban a Firebase en texto plano.<\/p>\n<p>Una vez m\u00e1s: a pesar de las garant\u00edas de uso del cifrado de extremo a extremo, <em>cualquier<\/em> mensaje de <em>cualquier<\/em> usuario en <em>Nothing Chats<\/em> y <em>todos los<\/em> archivos enviados por ellos (fotos, v\u00eddeos, etc.) pod\u00edan ser interceptados por cualquier persona.<\/p>\n<div id=\"attachment_26876\" style=\"width: 1330px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231710\/nothing-chats-imessage-for-android-security-disaster-04.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-26876\" class=\"wp-image-26876 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2023\/11\/28231710\/nothing-chats-imessage-for-android-security-disaster-04.png\" alt=\"La p\u00e1gina de Nothing Chats afirma que los mensajes de los usuarios nunca se almacenan en ning\u00fan lugar.\" width=\"1320\" height=\"984\"><\/a><p id=\"caption-attachment-26876\" class=\"wp-caption-text\">Adem\u00e1s, la p\u00e1gina de preguntas frecuentes de Nothing Chats afirma que los mensajes nunca se almacenan en ning\u00fan lugar, \u00bfno te dan ganas de llorar?<\/p><\/div>\n<p>Uno de los investigadores involucrados en el an\u00e1lisis de las vulnerabilidades de <em>Nothing Chats\/Sunbird<\/em> <a href=\"https:\/\/sunbird-poc.vercel.app\/\" target=\"_blank\" rel=\"noopener nofollow\">cre\u00f3<\/a> un sitio web sencillo como prueba de la viabilidad de un ataque, que permit\u00eda a cualquier persona ver que sus mensajes en <em>iMessage para Android<\/em> pod\u00edan interceptarse sin dificultad.<\/p>\n<p>Poco despu\u00e9s de que las vulnerabilidades se hicieran p\u00fablicas, <em>Nothing<\/em> <a href=\"https:\/\/twitter.com\/nothing\/status\/1725902458189119690\" target=\"_blank\" rel=\"noopener nofollow\">decidi\u00f3 eliminar su aplicaci\u00f3n de Google Play Store<\/a> \u201cpara corregir algunos errores\u201d. Sin embargo, incluso si <em>Nothing Chats<\/em> o <em>Sunbird: iMessage para Android<\/em> regresan a la tienda, es mejor evitarlos, as\u00ed como cualquier aplicaci\u00f3n similar. Esta historia demuestra de manera clara que, al crear un servicio intermediario que permita el acceso a iMessage, es muy f\u00e1cil cometer errores catastr\u00f3ficos que ponen en riesgo los datos de los usuarios.<\/p>\n<h2>Lo que los usuarios de Nothing Chats deben hacer ahora<\/h2>\n<p>Si has utilizado la aplicaci\u00f3n <em>Nothing Chats<\/em>, debes hacer lo siguiente:<\/p>\n<ul>\n<li>Inicia sesi\u00f3n en tu cuenta de ID de Apple desde un dispositivo de confianza, busca la p\u00e1gina con las sesiones activas (dispositivos en los que has iniciado sesi\u00f3n) y elimina la sesi\u00f3n asociada a <em>Nothing Chats\/Sunbird<\/em>.<\/li>\n<li>Cambia la contrase\u00f1a de tu ID de Apple. Es una cuenta muy importante, por lo que es recomendable usar una secuencia de caracteres muy larga y aleatoria; <a href=\"https:\/\/latam.kaspersky.com\/password-manager?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a> puede ayudarte a generar una contrase\u00f1a de confianza y almacenarla de forma segura.<\/li>\n<li>Desinstala la aplicaci\u00f3n <em>Nothing Chats<\/em>.<\/li>\n<li>A continuaci\u00f3n, puedes usar una herramienta creada por <a href=\"https:\/\/twitter.com\/batuhan\/status\/1725985096463724838\" target=\"_blank\" rel=\"noopener nofollow\">uno de los investigadores<\/a> para <a href=\"https:\/\/sunbird-poc.vercel.app\/nuke-data.html\" target=\"_blank\" rel=\"noopener nofollow\">eliminar tu informaci\u00f3n de la base de datos de Firebase de Sunbird<\/a>.<\/li>\n<li>Si has enviado informaci\u00f3n confidencial a trav\u00e9s de <em>Nothing Chats<\/em>, debes tratarla como informaci\u00f3n vulnerada y tomar las medidas adecuadas: cambiar las contrase\u00f1as, volver a emitir tarjetas, etc. <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> te ayudar\u00e1 a rastrear posibles filtraciones de datos personales vinculados a direcciones de correo electr\u00f3nico o n\u00fameros de tel\u00e9fono.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\">\n","protected":false},"excerpt":{"rendered":"<p>La aplicaci\u00f3n Nothing Chats de Nothing Phone promet\u00eda ser el iMessage para Android, pero en menos de 24 horas se elimin\u00f3 de Google Play debido a una impactante falta de seguridad.<\/p>\n","protected":false},"author":2726,"featured_media":26872,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2737],"tags":[2163,26,4228,92,1236,4412,5938,3766,37,38,5914],"class_list":{"0":"post-26871","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-android","10":"tag-apple","11":"tag-cifrado-de-extremo-a-extremo","12":"tag-contrasenas","13":"tag-dispositivos-moviles","14":"tag-e2e","15":"tag-id-de-apple","16":"tag-imessage","17":"tag-privacidad","18":"tag-seguridad","19":"tag-servicios-de-mensajeria-instantanea"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/26871\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nothing-chats-imessage-for-android-security-disaster\/26674\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/22099\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/11215\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/29424\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nothing-chats-imessage-for-android-security-disaster\/26958\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nothing-chats-imessage-for-android-security-disaster\/29432\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/nothing-chats-imessage-for-android-security-disaster\/28255\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nothing-chats-imessage-for-android-security-disaster\/36609\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/nothing-chats-imessage-for-android-security-disaster\/11882\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/49895\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nothing-chats-imessage-for-android-security-disaster\/21265\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nothing-chats-imessage-for-android-security-disaster\/22038\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nothing-chats-imessage-for-android-security-disaster\/30712\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/nothing-chats-imessage-for-android-security-disaster\/35227\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nothing-chats-imessage-for-android-security-disaster\/27227\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nothing-chats-imessage-for-android-security-disaster\/32949\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nothing-chats-imessage-for-android-security-disaster\/32598\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/servicios-de-mensajeria-instantanea\/","name":"servicios de mensajer\u00eda instant\u00e1nea"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26871"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26871\/revisions"}],"predecessor-version":[{"id":26877,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26871\/revisions\/26877"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26872"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}