El verano pasado WhatsApp dejó bien claro en las ventanas de chat que abríamos con nuestros contactos, que se estaba ya implementando el cifrado end-to-end para mantener esas conversaciones más seguras. Mientras que todo parecía que estaba bien resguardado, no es tan así.
Facebook clama que nadie puede interceptar mensajes WhatsApp, ni incluso la propia compañía ni su equipo, lo que asegura la privacidad para miles de millones de personas. Pero una nueva investigación muestra que la compañía podría leer los mensajes debido a la forma en que WhatsApp ha implementado su protocolo cifrado end-to-end.
La puerta abierta a tus mensajes en Whatsapp
Los encargados de la investigación claman que la vulnerabilidad es un “desafío mayor a la libertad de la comunicación libre” y puede ser utilizada por las agencias gubernamentales para “espiar” en los usuarios que creen que sus mensajes son seguros. WhatsApp ha hecho de la privacidad y la seguridad un importante punto de venta, y ha conseguido convertirse en la herramienta de comunicación para activistas, disidentes y diplomáticos.
El cifrado end-to-end de WhatsApp relega en la generación de unas claves únicas de seguridad, usando el aclamado protocolo de Signal desarrollado por Open Whisper Systems, y que son compartidas y verificadas entre usuarios para garantizar que las comunicaciones son seguras y no pueden ser interceptadas por un intermediario. De todas formas, WhatsApp tiene la habilidad para forzar la generación de unas nuevas claves de cifrado para usuarios sin conexión, desconocido al emisor y al receptor de los mensajes, y hacer que el emisor vuelva a cifrar los mensajes con nuevas claves y enviarlas de nuevo para cualquier mensaje que no haya sido marcado como enviado.
El receptor no es avisado de este cambio en la encriptación, mientras al emisor solamente se le notifica si ha optado a cifrar los avisos desde los ajustes y solamente después de que los mensajes hayan sido re-enviados. Este re-cifrado permite a WhatsApp interceptar y leer los mensajes de los usuarios.
¿Cómo fue descubierto?
Esta puerta trasera de seguridad fue descubierta por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, Berkeley. El mismo declaró:
Si a WhatsApp es preguntado por una agencia del gobierno a que revele sus registros de mensajes, puede efectivamente garantizar el acceso debido al cambio en las llaves.
Este backdoor o puerta trasera no es inherente al protocolo Signal. La app de Open Whisper Systems, Signal, ha sido usada y recomendada por el conocido Edward Snowden, y no sufre la misma vulnerabilidad. Si un receptor cambia la llave de seguridad mientras está offline, un mensaje fallará al ser enviado y el emisor será notificado del cambio en las llaves de seguridad automáticamente al reenviar el mensaje.
La implementación de WhatsApp automáticamente reenvía un mensaje que no ha llegado con una nueva clave sin avisar al usuario de antemano o darle al menos la habilidad para prevenirlo.
Facebook ya conocía de su existencia
Boelter reportó esta vulnerabilidad a Facebook en abril de 2016, pero fue dicho que Facebook estaba al tanto del problema, y que realmente fue un comportamiento esperado y que no estaba activamente “funcionando”. Lo curioso es que The Guardian ha verificado que a día de hoy el backdoor todavía existe.
Por lo que WhatsApp puede continuar intercambiando las llaves de seguridad cuando los dispositivos están offline y así reenviar el mensaje, sin hacérselo saber a los usuarios acerca del cambio después de que ha sido hecho, lo que ofrece, a final de cuentas, una plataforma extremadamente insegura.
Es el propio Boelter el que avisa:
Algunos podrían decir que esta vulnerabilidad solamente podría ser abusada para “espiar” mensajes únicos, no en conversaciones enteras. Pero esto no es verdad si consideras que el servidor de WhatsApp puede enviar mensajes sin enviar el “mensaje que fue recibido por la notificación” del receptor (o lo que conocemos por doble clic), a lo que los usuarios no se darían cuenta. Usando la vulnerabilidad de la retransmisión, el servidor de WhatsApp puede más tarde obtener una transcripción de toda la conversación, no solamente un único mensaje.
Esta vulnerabilidad, por lo tanto, nos hace preguntarnos por la verdadera privacidad de los mensajes que son enviados a través del servicio, el cual es usado en todo el mundo, inclusive por personas viviendo en regímenes opresivos.
Es que estaríamos hablando de una mina de oro para las agencias de seguridad y una “traición enorme para la confianza del usuario”. Es en si un gran ataque para la libertad de expresión, al ser capaz de poder mirar en qué estás diciendo si así se quiere. Muchos dirán que no tienen nada que esconder, pero tu no sabes para qué se está usando la información que se mira y que conexiones están siendo hechas.
Aparte de que tal como se ha dicho anteriormente, es la propia WhatsApp la que se vanagloria de la privacidad y seguridad que ofrece, algo que debemos de cuestionar desde ya según la información veraz que aporta The Guardian.
El artículo Una ‘puerta trasera’ en WhatsApp permite espiar los mensajes cifrados ha sido originalmente publicado en Androidsis.
Continúar leyendo...