Los investigadores señalan todas las vulnerabilidades en defensa que sufre la nueva adquisición de Facebook
Los problemas de WhatsApp con la seguridad han sido muy sonados durante estos últimos años y más si tenemos en cuenta que es el servicio de mensajería instantánea líder a nivel mundial. Ahora, Facebook tiene una gran responsabilidad por delante para acallar todas aquellas voces que aún señalan a WhatsApp como un servicio potencialmente inseguro.
Sin embargo, parece ser que los reclamos de estas voces está bien fundamentados, ya que un análisis llevado a cabo por el investigador Paul Jáuregui, de la firma de seguridad Pretorian, acaba de sacar a la luz las principales vulnerabilidades que presenta el sistema de seguridad de WhatsApp. El sistema que utiliza la popular aplicación es el SSL, un protocolo que se encarga de la encriptación de todos los mensajes que se envían los usuarios a través del servicio.
La versión antigua de este protocolo es conocida por ser susceptible a numerosos ataques conocidos que podrían permitir a un hacker acceder a las conversaciones de los usuarios. Estos ataques se conocen como “man-in-the-middle” y permiten al atacante interceptar los datos que se están transfiriendo entre dos usuarios a pesar de la encriptación SLL, como si este se situara entre medio de estos dos.
El equipo de WhatsApp ha fallado en la aplicación de una técnica conocida como “planificación de certificado“, la cual está diseñada para bloquear los ataques que utilizan certificados falsos, en otras palabras, personas que tratan de hacerse pasar por los usuarios de una conversación.
El sistema de seguridad de WhatsApp basado en la encriptación SLL presenta grandes vulnerabilidades
El investigador también señala dos deficiencias más en la forma en la que WhatsApp implementa el protocolo SSL. En primer lugar, el uso de los cifrados SLL nulos. En esencia, si las técnicas de cifrado de la aplicación no coinciden con las del servidor, la app cambia automáticamente y adopta un cifrado nulo. En segundo lugar, la habilitación de la exportación de los cifrados SLL. Ambos factores contribuyen a que sea más fácil para los atacantes romper el sistema de seguridad mediante ataques “man-in-the-middle”.
Como hemos podido ver en iPhone in Canada, todos estos problemas se agravan si tenemos en cuenta que WhatsApp cuenta con una cartera de 450 millones de usuarios en todo el mundo, por lo que una fuga masiva de todos estos datos podría ser algo catastrófico.
La duda que se plantea ahora con la adquisición del servicio por parte de Facebook es si la red social combinará sus datos de usuario con los de WhatsApp, algo que está totalmente prohibido si nos fijamos en los términos de servicio de WhatsApp.
¿Contribuirá Facebook a mejorar la seguridad de WhatsApp? ¿Usará los datos del servicio de mensajería para sus propios fines? ¿Qué creéis?
iPadizate, el mejor blog sobre los iPad de Apple.
Continúar leyendo...
Los problemas de WhatsApp con la seguridad han sido muy sonados durante estos últimos años y más si tenemos en cuenta que es el servicio de mensajería instantánea líder a nivel mundial. Ahora, Facebook tiene una gran responsabilidad por delante para acallar todas aquellas voces que aún señalan a WhatsApp como un servicio potencialmente inseguro.
Sin embargo, parece ser que los reclamos de estas voces está bien fundamentados, ya que un análisis llevado a cabo por el investigador Paul Jáuregui, de la firma de seguridad Pretorian, acaba de sacar a la luz las principales vulnerabilidades que presenta el sistema de seguridad de WhatsApp. El sistema que utiliza la popular aplicación es el SSL, un protocolo que se encarga de la encriptación de todos los mensajes que se envían los usuarios a través del servicio.
La versión antigua de este protocolo es conocida por ser susceptible a numerosos ataques conocidos que podrían permitir a un hacker acceder a las conversaciones de los usuarios. Estos ataques se conocen como “man-in-the-middle” y permiten al atacante interceptar los datos que se están transfiriendo entre dos usuarios a pesar de la encriptación SLL, como si este se situara entre medio de estos dos.
El equipo de WhatsApp ha fallado en la aplicación de una técnica conocida como “planificación de certificado“, la cual está diseñada para bloquear los ataques que utilizan certificados falsos, en otras palabras, personas que tratan de hacerse pasar por los usuarios de una conversación.
El sistema de seguridad de WhatsApp basado en la encriptación SLL presenta grandes vulnerabilidades
El investigador también señala dos deficiencias más en la forma en la que WhatsApp implementa el protocolo SSL. En primer lugar, el uso de los cifrados SLL nulos. En esencia, si las técnicas de cifrado de la aplicación no coinciden con las del servidor, la app cambia automáticamente y adopta un cifrado nulo. En segundo lugar, la habilitación de la exportación de los cifrados SLL. Ambos factores contribuyen a que sea más fácil para los atacantes romper el sistema de seguridad mediante ataques “man-in-the-middle”.
Como hemos podido ver en iPhone in Canada, todos estos problemas se agravan si tenemos en cuenta que WhatsApp cuenta con una cartera de 450 millones de usuarios en todo el mundo, por lo que una fuga masiva de todos estos datos podría ser algo catastrófico.
La duda que se plantea ahora con la adquisición del servicio por parte de Facebook es si la red social combinará sus datos de usuario con los de WhatsApp, algo que está totalmente prohibido si nos fijamos en los términos de servicio de WhatsApp.
¿Contribuirá Facebook a mejorar la seguridad de WhatsApp? ¿Usará los datos del servicio de mensajería para sus propios fines? ¿Qué creéis?
iPadizate, el mejor blog sobre los iPad de Apple.
Continúar leyendo...