No había agujero de seguridad en WhatsApp: tus mensajes están a salvo

La integración del cifrado de extremo a extremo de WhatsApp fue una gran noticia para los usuarios, que al fin podían estar tranquilos en cuanto a la privacidad y seguridad que confería este servicio de mensajería instantánea.

Todo parecía ser perfecto hasta que hace unas horas The Guardian publicase una noticia en la cual se advertía de un agujero de seguridad en WhatsApp que permitiría a un atacante interceptar los mensajes cifrados y ver su contenido. Ese agujero de seguridad no existe, y lo que ocurre es que algunos medios no han entendido cómo funcionan las claves de cifrado del sistema. El cifrado de WhatsApp funciona precisamente como debe hacerlo.

¿Cuál era el supuesto problema?

En The Guardian explicaban cómo WhatsApp podría forzar a un cliente móvil del servicio a generar nuevas claves de cifrado, algo que haría posible que los responsables del servicio pudieran interceptar ese intercambio de claves y, por lo tanto, interceptar los mensajes posteriores.

Como explicaba un experto en seguridad en su blog, “esta es la forma en la que funciona un ataque man-in-the-middle, y solo funciona cuando ambas partes —que se comunican con la otra— no verifican la huella digital de esas claves intercambiadas“.

Tanto Signal como WhatsApp hacen uso de un sistema llamado TOFU (“Trust Of First Use”, “Confianza en el primer uso”), y según ese principio cuando una clave se intercambia, esa es la clave en la que se confía para la comunicación en tanto en cuanto la clave no cambie.

Aunque Signal trabaja de una forma distinta si esa clave cambia (bloquea los mensajes salientes y no envía nuevos hasta que se verifican manualmente las nuevas claves), la forma de trabajar de WhatsApp es igualmente válida, aunque este expderto señala que WhatsApp sigue siendo código propietario y eso hace que no se pueda “auditar” realmente cómo trabaja la empresa cuando esto ocurre. Otros expertos también explicaban el funcionamiento de WhatsApp en el pasado y la superioridad de Signal en este ámbito.

No es un fallo, sino una característica

Varios expertos en seguridad respondieron al artículo de The Guardian con críticas muy duras ante lo que era simplemente un error de concepto. El uso del protocolo de cifrado Signal desarrollado por la empresa Open Whisper Systems funciona a través de unas claves de cifrado que deben ser verificadas.

Nothing new. Of course, if you don’t verify keys Signal/WhatsApp/… can man-in-the-middle your communications.https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages 

It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.

Frederic Jacobs, responsable del desarrollo en iOS para esa empresa comentaba cómo lo único que ocurre es que hay que verificar las claves, o de lo contrario se puede producir un ataque man-in-the-middle: alguien podría situarse en medio de la comunicación e interceptar esos mensajes. El problema es que eso no es un agujero de seguridad, sino una característica del sistema de cifrado: hasta que las claves no se verifican, su autenticidad no está garantizada.

Hey @OpenRightsGroup @jimkillock – next time a Guardianista wants to do a hit-piece / spread FUD about E2E Encryption, give me a call first? pic.twitter.com/JUjJB0okgp

> @manisha_bot I hope you’re pleased, you’re going to undermine the confidence of millions with this “anti-vaxxing”https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages 

Photo published for WhatsApp vulnerability allows snooping on encrypted messages

WhatsApp vulnerability allows snooping on encrypted messages

Privacy campaigners criticise WhatsApp vulnerability as a ‘huge threat to freedom of speech’ and warn it could be exploited by government agencies

theguardian.com

De hecho, otro experto llamado Alex Muffet revelaba tras hablar con Gizmodo que esto “no es un error, funciona como se diseñó para hacerlo y alguien está diciendo que es un “agujero” y pretendiendo que es un caos cuando el hecho es que se puede ignorar totalmente“. Según Muffet:

Hay una característica en WhatsApp que —cuando cambias de teléfono, compras uno nuevo, haces un reset de fábrica, lo que sea— cuando instalas WhatsApp por primera vez en el nuevo teléfono y continuas una conversación, las claves de cifrado se renegocian para ajustarse al nuevo teléfono.

De hecho aprovechar esto para tratar de interceptar una conversación sería muy complejo. En primer lugar tendrían que ser mensajes que están guardados a la espera de ser recibidos por la otra persona (si por ejemplo tiene el móvil apagado). En ese caso alguien que trabajase en Facebook o WhatsApp tendría que simular que el receptor cuenta con un nuevo teléfono para que los mensajes se volvieran a cifrar y se mandaran a un nuevo teléfono falso.

En resumen: el problema del que acusaban a WhatsApp es un exploit muy conocido de sistemas de mensajes cifrados (la EFF comentó el tema en octubre del año pasado), pero es que además ese exploit es muy difícil de aprovechar. Así pues, no os preocupéis: no hay agujero de seguridad, y vuestros mensajes están a salvo.

Fundador y Director de LucernaTec.com, co fundador de El Vakeo.com y ElOriental.com.do, amante de la tecnología, el cine, la música, Netflix, y fotografía. Con experiencia en diseño gráfico, redes sociales, creación de contenidos. Puedes encontrarme en: https://www.instagram.com/eljuanmi05/ https://twitter.com/eljuanmi05

Juan Miguel Rivera

Fundador y Director de LucernaTec.com, co fundador de El Vakeo.com y ElOriental.com.do, amante de la tecnología, el cine, la música, Netflix, y fotografía. Con experiencia en diseño gráfico, redes sociales, creación de contenidos. Puedes encontrarme en: https://www.instagram.com/eljuanmi05/ https://twitter.com/eljuanmi05

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Creative Commons License
No había agujero de seguridad en WhatsApp: tus mensajes están a salvo is licensed under a Creative Commons Attribution-Share Alike 4.0 License.