El cifrado de WhatsApp tiene una puerta trasera que nadie se explica
Jakub Motyka
El cifrado de WhatsApp se anunció a bombo y platillo a mediados del año pasado, presumiendo de incorporar consigo la privacidad absoluta durante el intercambio de mensajes entre una persona y otra. Ahora, se ha descubierto que el código fuente de la aplicación esconde un agujero de seguridad que echaría por tierra toda la seguridad del cifrado.
Facebook, dueña y señora de WhatsApp desde el año 2014, aseguró en su momento que nadie -absolutamente nadie sin excepción, ni el propio Zuckerberg- podía romper el cifrado de extremo a extremo de los mensajes, lo que significa que ninguna persona más allá del emisor y del receptor debería tener acceso al contenido de las conversaciones. Pero una exclusiva publicada por el medio inglés The Guardian ha revelado que, queriendo o sin querer, Facebookse dejó una puerta trasera que todavía a día de hoy sigue sin estar corregida.
Esta "puerta trasera" (un fragmento de código que, de ser explotado, podría permitir el acceso a un intruso) permite que WhatsApp sí pueda leer los mensajes de sus usuarios haciendo uso de una peculiar función que nadie se explica por qué todavía no está corregida. Y los de Zuckerberg están al corriente de ello desde... ¡el mes de abril del año pasado!
Tal y como publica The Guardian, toda la polémica no reside tanto en el protocolo de Signal que incorpora WhatsApp -el cual, al menos hasta el día de hoy, ha demostrado ser cien por cien seguro para el común de los mortales-, sino en la forma en que Facebook implementó el cifrado en la aplicación de mensajería.
Queriendo o sin querer, dice Tobias Boelter -experto de seguridad de la Universidad de California-, la red social implementó este cifrado de tal forma que los mensajes cifrados que se envían por la aplicación se podrían desencriptar si así lo quiere Facebook.
"Si un organismo gubernamental le pide a WhatsApp que facilite los registros de los mensajes", dice Boelter, "la aplicación puede facilitar esta información gracias al cambio en las claves de seguridad".
Cuando Boelter habla de "cambio en las claves de seguridad", a lo que se refiere es a un agujero de seguridad que permite generar nuevas contraseñas de cifrado mientras un usuario está desconectado. Facebook, si quiere, puede hacerlo sin que por defecto nadie se entere: ni el emisor ni el receptor sabrán que ha habido un cambio en las claves de seguridad.
Después, todos los mensajes que se reciben con esa nueva contraseña se pueden descifrar sin problemas dado que la contraseña ha sido generada manualmente y, por lo tanto, no es necesario romper ninguna clave.
Lo curioso del asunto es que el protocolo de Signal incorpora precisamente una función de seguridad orientada a evitar este agujero de seguridad. Si el código de seguridad de un usuario cambia mientras está offline, el protocolo bloquea automáticamente el envío del mensaje y avisa a la otra persona de la situación.
Entonces, ¿por qué WhatsApp ha pasado por alto esta función? La respuesta es un misterio, pero lo que confirma el propio Boelter es que Facebook lleva mucho tiempo sabiendo que este agujero existe. Por uno u otro motivo, simplemente ha decidido no solucionarlo.
Pero, ¿cómo podemos protegernos ante esta polémica del cifrado de WhatsApp? Basta con que activemos las notificaciones de los códigos de seguridad, de tal forma que si en algún momento el código de nuestro contacto cambia de un momento a otro al menos sabremos que debemos extremar las precauciones ante la posibilidad de que ha habido alguna filtración en la conversación.
Los pasos a seguir para activar esta opción son:
- Entramos en la aplicación de WhatsApp.
- Nos dirigimos hasta los ajustes de la aplicación y, una vez dentro, pulsamos sobre "Cuenta".
- Después, entramos en "Seguridad".
- Por último, activamos la opción de "Mostrar notificaciones de seguridad".
Estos son los móviles en los que WhatsApp deja de funcionar en 2017
Conoce cómo trabajamos en Computerhoy.