Dudas sobre la seguridad de WhatsApp: ¿están tus mensajes protegidos?
Un estudio asegura que la ilusión de seguridad en la aplicación de mensajería es falsa y que Facebook puede leer los mensajes de cualquier usuario
:format(jpg)/f.elconfidencial.com%2Foriginal%2F379%2F9f7%2F8bb%2F3799f78bbf8eaf7977bee50a8c02c274.jpg)
En abril del pasado año, WhatsApp anunció que incorporaba la encriptación en todas las conversaciones de sus usuarios. Lo hacía, aseguraba la compañía, para proteger la privacidad de los más de mil millones de personas que utilizan el popular servicio de mensajería. Ocho meses después, un estudio asegura que esas conversaciones no son tan privadas como lo demuestra la existencia de una posible 'puerta trasera' que permitiría leer los mensajes de cualquier número de teléfono. El supuesto fallo, sin embargo, ha sido desmentido en las últimas horas tanto por WhatsApp como por especialistas de seguridad.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fea4%2Fdf3%2Fd2c%2Fea4df3d2c4a9abab190b479af88f1dc7.jpg)
La información sobre el supuesto fallo la ha ofrecido este viernes en exclusiva The Guardian, asegurando que cualquier gobierno puede acceder a las conversaciones de sus ciudadanos. Así lo ha desvelado Tobias Boelter, criptógrafo e investigador de seguridad informática de la Universidad de California, que ha descubierto que la aplicación puede intermediar entre dos usuarios para espiar sus mensajes. Otros especialistas de seguridad, como Fredric Jacobs, explican que, en realidad, el agujero de seguridad no existe: tus mensajes están a salvo.
Según la información inicial desvelada por The Guardian y Tobias Boelter, para que el fallo tenga efecto es necesario que los usuarios estén desconectados. Es en ese momento cuando la aplicación puede cambiar las claves de encriptado que se han generado entre dos personas e introducir una nueva para tener acceso al contenido de cualquier conversación sin que ambas personas estén al corriente.
El investigador Tobias Boelter alertó a la 'app' del agujero en abril de 2016. La vulnerabilidad todavía sigue activa ocho meses después
Esta práctica impide que las personas cuyos mensajes estén siendo espiados lo sepan. Otras aplicaciones de mensajería que apuestan por la seguridad, como Signal, no envían los mensajes una vez que se han modificado los códigos que encriptan una conversación en concreto. Según la investigación de Boelter, en el caso de WhatsApp no hay notificación alguna de que ese cifrado haya cambiado por lo que nadie, salvo WhatsApp, es consciente del espaionaje.
El investigador alertó a la aplicación de mensajería del problema en abril de 2015. La respuesta que recibió Boelter fue que esa anomalía era normal, que Facebook estaba al tanto y que no se estaba trabajando para solucionarla. The Guardian asegura que el problema todavía persiste, en pleno 2017.
Un agujero... que no existe
WhatsApp ha negado las acusaciones y asegura que no tiene ninguna puerta trasera para que los gobiernos de ningún país puedan espiar a sus ciudadanos. "Más de mil millones de personas utilizan WhatsApp cada día porque es sencillo, rápido, fiable y seguro. Siempre hemos creído que las conversaciones de las personas deberían ser seguras y privadas. A medida que introducimos medidas como la encriptación, nos centramos en hacer un producto sencillo pero siempre con un ojo puesto en el uso que se le da alrededor del planeta".
It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.
— Frederic Jacobs (@FredericJacobs) 13 de enero de 2017
Otros especialistas en seguridad informática han negado también que se trate de un fallo o una 'puerta trasera', como asegura la información de The Guardian. Fredric Jacobs, experto en seguridad, señala por ejemplo que el supuesto fallo es en realidad una función conocida que, para explotarse como un fallo de seguridad, necesitaría colaboración por parte de Facebook o WhatsApp. "Nada nuevo", dice Jacobs.
Este experto explica que lo único que ocurre es un proceso de verificación de las claves de cifrado a la hora de enviar mensajes. Si esas claves no se verifican, sí se podría producir un ataque de tipo 'man in the middle'. Pero no se trata de una puerta trasera o un fallo de seguridad, sino de una función en sí misma. Cómo explica Alex Muffet, otro experto de seguridad, al medio Gizmodo, "hay una característica en WhatsApp que, al cambiar de teléfono, comprar uno nuevo o hacer un reset, cuando instalas WhatsApp por primera vez en el nuevo teléfono y continuas una conversación, las claves de cifrado se renegocian para ajustarse al nuevo teléfono".
Esa renegociación de claves es lo que ha producido la confusión al respecto, explica Muffet. Intentar realizar un ataque en ese instante es altamente complejo y, más aún, necesitaría de la cooperación de Facebook o WhatsApp para que fuera exitoso. En otras palabras: falsa alarma. Tus mensajes de WhatsApp están tan seguros como antes.
En abril del pasado año, WhatsApp anunció que incorporaba la encriptación en todas las conversaciones de sus usuarios. Lo hacía, aseguraba la compañía, para proteger la privacidad de los más de mil millones de personas que utilizan el popular servicio de mensajería. Ocho meses después, un estudio asegura que esas conversaciones no son tan privadas como lo demuestra la existencia de una posible 'puerta trasera' que permitiría leer los mensajes de cualquier número de teléfono. El supuesto fallo, sin embargo, ha sido desmentido en las últimas horas tanto por WhatsApp como por especialistas de seguridad.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F16d%2F127%2F2a6%2F16d1272a6be31adfa64ec72c8e9ac056.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fea4%2Fdf3%2Fd2c%2Fea4df3d2c4a9abab190b479af88f1dc7.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F025%2Ff66%2F8b4%2F025f668b446529d46ac87063a6779673.jpg)