Una vulnerabilidad en WhatsApp podría permitir interceptar mensajes cifrados
Este defecto en la seguridad del servicio de mensajería puede cambiar las claves de seguridad y reenviar mensajes.
WhatsApp activó el pasado año el cifrado extremo a extremo en su servicio de mensajería, hecho que supuso un gran conflicto. Cuando todas las miradas estaban atentas a la lucha de Apple con el FBI por desbloquear el iPhone del asesino de San Bernardino, WhatsApp dio un paso gigante hacia la protección de la privacidad de los usuarios al encriptar sus mensajes y llamadas.
Ahora un nuevo informe sugiere que el servicio de mensajería instantánea podría no ser tan seguro como se piensa. Según el periódico The Guardian, una seria vulnerabilidad en el cifrado de WhatsApp podría permitir a Facebook interceptar y leer mensajes sin el conocimiento del destinatario, siendo el remitente informado solo si previamente ha elegido recibir alertas de cifrado.
Este defecto en la seguridad, descubierto por Tobias Boelter, un investigador en criptografía de la Universidad de California, Berkeley, puede “realmente conceder acceso (a los mensajes de los usuarios) cambiando las claves de seguridad y reenviando mensajes”.
“El cifrado extremo a extremo de WhatsApp se basa en la generación de claves de seguridad únicas, utilizando el reconocido protocolo Signal… para garantizar que las comunicaciones sean seguras y no puedan ser interceptadas por un intermediario”, relata el documento. “Sin embargo, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para usuarios fuera de línea y de hacer que el remitente vuelva a cifrar los mensajes con nuevas claves y envíe de nuevo los que no hayan sido marcados como entregados”.
Aunque no hay ninguna evidencia que sugiera que WhatsApp haya utilizado este fallo para interceptar mensajes de forma encubierta, Boelter afirma que informó de la vulnerabilidad a Facebook el pasado mes de abril, pero fue avisado de que era un “comportamiento esperado”. Según The Guardian, el defecto en la seguridad, que aún existe en la última versión del cifrado del servicio, está exasperado por el hábito de WhatsApp de reenviar automáticamente los mensajes no entregados sin la autorización del usuario.
De acuerdo con la página web de WhatsApp, el cifrado end-to-end está siempre activado cuando se utiliza el servicio y no hay manera de apagarlo. Además, cada conversación tiene su propio proceso de verificación opcional que se puede utilizar para constatar que las llamadas y los mensajes están cifrados extremo a extremo. En una declaración proporcionada a Greenbot, página web especializada en el ecosistema Android, el servicio de mensajería defendió la “decisión de diseño intencional” y afirmó lo siguiente: “WhatsApp no le da a los gobiernos una `puerta falsa´ en sus sistemas y lucharía contra cualquier solicitud del Gobierno para crear una. La decisión de diseño referenciada en la historia de The Guardian impide que millones de mensajes se pierdan, y WhatsApp ofrece a las personas notificaciones de seguridad para alertarlas de posibles riesgos”.
