Debido a las acusaciones de la Fiscalía en contra de funcionarios de Carabineros por la supuesta manipulación de conversaciones de WhatsApp y Telegram, es importante hacer una revisión de la seguridad de la principal aplicación de mensajería instantánea y las posibles vulnerabilidades que esta pueda presentar.
WhatsApp es un servicio de mensajería móvil extremadamente popular con más de mil millones de usuarios diarios. Es una cifra increíble, y la empresa se enorgullece de la aparente seguridad que ofrece a todos esos usuarios (siempre que ejecuten la última versión de la aplicación).
Sin embargo, también es bueno tener en cuenta que no todos confían en la palabra de la compañía, en parte debido a problemas de privacidad que rodean a su empresa matriz Facebook y también a su implementación de encriptación.
WhatsApp usa parte de un protocolo de seguridad desarrollado por Open Whisper Systems, una compañía que tiene su propia aplicación de mensajería totalmente segura Signal (para iOSy Android )
A partir de abril de 2017, WhatsApp implementó el cifrado de extremo a extremo en todos los mensajes.
¿Qué es el cifrado?
El cifrado es la codificación de los mensajes del remitente en su viaje al destinatario, en gran medida para desalentar la intercepción y lectura de esos mensajes por otras partes.
Este concepto se remonta miles de años al envío de mensajes codificados por escrito, pero ahora, las formas modernas de comunicación se pueden cifrar automáticamente con codificación compleja.
Gracias a la revolución de los teléfonos inteligentes, ahora enviamos y recibimos muchísimos más datos entre dispositivos. Todos estos datos, ya sean llamadas de voz, mensajes de texto o datos móviles, son administrados por los proveedores de servicios. El hecho de que estos datos estén encriptados o no, varía según la política de la compañía que proporciona el servicio.
Por ejemplo, las llamadas de voz y mensajes de texto son manejados por su operador de telefonía móvil. Este operador también proporciona su conexión 3G o 4G a Internet en su teléfono inteligente, pero no encriptan todos los servicios que usa.
Si tiende a enviar mensajes a través de WhatsApp en lugar de mensajes de texto, su operador de telefonía móvil no es responsable de cifrar los datos de WhatsApp; simplemente le proporciona su conexión a Internet, la conexión que permite el envío de aplicaciones como WhatsApp, Facebook y Twitter.
¿Cómo funciona el cifrado de extremo a extremo de WhatsApp?
El cifrado extremo a extremo de WhatsApp consiste en la implementación de un sistema en el que incluso, WhatsApp no puede interceptar ni leer los mensajes enviados en su propia plataforma.
Cuando se envía un mensaje, solo puede ser ‘desbloqueado’ por el destinatario previsto, gracias a un código muy complejo que le llevó varios años desarrollar a WhatsApp. No es tarea fácil de lograr, sobre todo teniendo en cuenta que mil millones de personas utilizan el servicio.
Esto difiere de muchas aplicaciones de mensajería, que solo cifran mensajes entre usted y ellos. Esto significa que sus mensajes se almacenan en los servidores de servicios, por lo general no de forma permanente, por lo que hipotéticamente se puede acceder y leer.
¿Por qué es importante el cifrado de extremo a extremo?
La razón por la cual la decisión está recibió mucha atención es debido a los casos de alto perfil en los que los proveedores de servicios de comunicación como Facebook, son requeridos por las autoridades para publicar datos personales confidenciales.
Un ejemplo de esto ocurrio cuando el FBI le pidió a Apple que desbloqueara un iPhone 5C que fue utilizado por uno de los tiradores de San Bernardino, una solicitud que Apple rechazó, subrayando los valores integrales que muchas grandes compañías de comunicaciones tienen en cuanto a datos personales, seguridad y encriptación .
¿Todas las aplicaciones tienen encriptación de extremo a extremo?
La respuesta corta es no, pero tampoco es alarmante.
La decisión de WhatsApp es una de las primeras de su tipo, y es particularmente interesante porque tradicionalmente los servicios de mensajería de teléfonos inteligentes han minimizado la importancia de la seguridad.
Facebook Messenger solo encripta los mensajes entre su dispositivo y sus servidores. Esto significa que, por ley, Facebook podría verse obligado a divulgar mensajes privados. Lo mismo se aplica a Instagram, que es de Facebook, aunque curiosamente, también es propietaria de WhatsApp.
En Agosto de 2016 WhatsApp anunció que comenzará a compartir datos con su empresa matriz Facebook con el fin de atraer anuncios a la plataforma. Las empresas de terceros podrán enviar mensajes dirigidos directamente a los usuarios de WhatsApp en caso de que acepten los nuevos términos y condiciones.
Facebook compró WhatsApp en 2014 y este último ahora compartirá los números de teléfono de los usuarios con Facebook para proporcionar anuncios. Es una señal clara de que la plataforma debe monetizar su oferta después de unos años de brindar un servicio gratuito.
Parece que Facebook recibirá información para orientar sus usuarios de mejor forma con anuncios en la plataforma de Facebook. Es una señal pequeña pero significativa de que WhatsApp, propiedad de Facebook, tiene que conceder algunos de sus valores de privacidad.
Vulnerabilidades informadas por The Guardian
En enero de 2017, The Guardian informó que WhatsApp “tiene la capacidad de forzar la generación de nuevas claves de cifrado para usuarios fuera de línea, sin que el remitente y el destinatario lo noten, y hacer que el remitente vuelva a encriptar mensajes con claves nuevas y enviarlas nuevamente para cualquier mensaje que no haya sido marcado como entregado.”
The Guardian afirmó que WhatsApp tiene una ‘puerta trasera’. Si WhatsApp cambiara secretamente las claves de seguridad de un usuario, la empresa podría, según Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, “divulgar sus registros de mensajes y otorgar acceso de manera efectiva debido al cambio de claves” si agencias gubernamentales lo solicitaran.
WhatsApp afirma que esta vulnerabilidad existe, de modo que, si alguien cambia su teléfono y, por lo tanto, su clave de seguridad automática, los mensajes se enviarán para no interrumpir el servicio. Esto es, para ser justos, un punto válido, ya que no hacerlo interrumpiría el servicio de mil millones de personas con relativa frecuencia. La declaración completa de WhatsApp se puede encontrar aquí a través de Reddit.
La bóveda 7 de Wikileaks
El martes 7 de marzo de 2017, Wikileaks causó revuelo al lanzar “Vault 7”, miles de documentos confidenciales que, según afirma, provienen de redes internas de la CIA. Esto ha suscitado algunas preocupaciones de que los mensajes de WhatsApp, que están encriptados de extremo a extremo, podrían leerse.
Los informes pueden ser un poco confusos en este caso; en realidad no es la naturaleza encriptada de los mensajes la que podría verse comprometida. Los informes detallan la capacidad de las agencias de inteligencia para controlar a distancia dispositivos individuales y acceder a ellos como si fueran el usuario. Obviamente, en este caso, el cifrado sigue siendo fuerte, pero es el dispositivo del usuario final el que se ha visto comprometido.
Por lo tanto, desde esta noticia, no necesita preocuparse por la validez del cifrado en WhatsApp, aunque le preocupa que Wikileaks reclame que la CIA y otros tengan el poder de hackear teléfonos inteligentes.
No Comment