El servicio podría ser el próximo blanco de las fuerzas de seguridad contra la encriptación, y una vulnerabilidad compartida con iMessage posibilita el acceso de terceros a las conversaciones
Los problemas de Apple con el Departamento de Justicia (DOJ, por sus siglas en inglés) puede que estén a punto de duplicarse. Y pronto Facebook se podría ver envuelta en la lucha contra el Gobierno de Estados Unidos sobre cuánta encriptación es demasiada.
Apple mantiene una disputa legal abierta con el DOJ, que afirma que el sistema que encripta los datos almacenados en un iPhone obstaculiza irrazonablemente a las fuerzas del orden. El pasado domingo, The New York Times informó de que el DOJ también tiene objecciones a la encriptación incorporada en el servicio de mensajería de WhatsApp, propiedad de Facebook. Está diseñado de tal forma que la empresa carece de la capacidad de desencriptar los mensajes para proporcionárselos a las fuerzas del orden. El servicio de mensajería de Apple, iMessage, emplea un diseño similar.
Aún no hay señales de que el DOJ esté a punto de lanzar una segunda y pública lucha legal contra Apple, ni de enfrentarse a Facebook. Pero sí se sabe que una vulnerabilidad en el diseño de iMessage y WhatsApp permitiría que Apple y Facebook den acceso a las autoridades para realizar "escuchas" en sus sistemas de mensajería con relativa facilidad, incluso si no pueden entregar mensajes anteriores. El criptógrafo y profesor de la Universidad de Johns Hopkins (EEUU) Matthew Green ha escrito que la respuesta a la pregunta de si Apple podría crear una puerta trasera para iMessage es "categóricamente sí".
Crédito: Yasuyoshi Chiba (Getty Images).
iMessage y WhatsApp emplean un diseño conocido como encriptación end-to-end (extremo a extremo). Eso significa que cuando los dispositivos intercambian mensajes, las claves necesarias para desencriptar el chat residen sólo en los dispositivos involucrados. Esto es distinto a la mayoría de los servicios, como el correo electrónico, por ejemplo, donde los mensajes sólo se encriptan en el camino entre el usuario y su proveedor de servicios de internet, y esa empresa dispone de la clave para desencriptar los mensajes.
El problema con iMessage y WhatsApp es que Apple y Facebook quieren promover que la gente se comunique en sus plataformas. Y por tanto actúan como intermediarios y controlan las claves cruciales empleadas para asegurar los mensajes.
Si usted hace un amigo nuevo y le envía un mensaje por WhatsApp o iMessage, la empresa que hay detrás del servicio indica a su dispositivo qué claves emplear para encriptar el mensaje, y para desencriptar la respuesta. Apple y Facebook podrían incluir, entre las claves que reparten, una clave especial adicional que en efecto introduciría al FBI a la conversación. Cualquier mensaje enviado entre usted y ese contacto entonces podría ser leído por los investigadores, a modo de una escucha telefónica.
La solución para esta vulnerabilidad está bien entendida y ampliamente utilizada por servicios de mensajería que hacen un mayor hincapié en la seguridad, como Signal. Si puede inspeccionar la clave utilizada para chats con un contacto específico, entonces se puede confirmar con ese contacto que sólo se estén empleando las claves asociadas con los dos dispositivos.
Añadir esa prestación complicaría (ligeramente) el diseño de iMessage y WhatsApp, y la vasta mayoría de la gente que utiliza la plataforma probablemente ni la utilizaría. Pero The Guardian informó el lunes de que Facebook y Apple están planeando aumentar su uso de encriptación en respuesta a las recientes quejas públicas y legales del DOJ.
Estos cambios no incluirán el parcheo del diseño de iMessage y WhatsApp, pero sí representaría un arreglo obvio y fácil si las dos empresas quieren limitar las posibles maneras en las que el Gobierno podría pinchar sus sistemas.
(Lean más: The New York Times, The Guardian, Apple se niega a desbloquear el iPhone de uno de los terroristas de San Bernardino)