.

Computación

La comodidad de Whatsapp tiene un precio, su cifrado vulnerable

1

Un informe alerta de una posible vulnerabilidad del sistema de encriptación de extremo a extremo de la aplicación. La compañía asegura que es necesaria

  • por Jamie Condliffe | traducido por Teresa Woods
  • 19 Enero, 2017

El año pasado, WhatsApp activó el cifrado de extremo a extremo para todos sus usuarios. Ahora, un informe sugiere que su enfoque de seguridad tiene defectos, pero la empresa argumenta que la vulnerabilidad es un sacrificio inevitable para que el servicio sea fácil de usar.

Según un nuevo informe de The Guardian, WhatsApp tiene un defecto que podría, en teoría, permitir a la empresa leer mensajes que los usuarios creen que están a salvo de miradas ajenas. El investigador de temas de seguridad de la Universidad de California en Berkeley (EEUU) explica al periódico que WhatsApp puede forzar la generación de una nueva clave de encriptación en un dispositivo mientras el usuario está desconectado. De este modo, si alguien envía un mensaje a ese dispositivo cuando esté fuera de línea, el remitente estará obligado a reencriptar los mensajes y reenviarlos. 

Esos mensaje podrían, según Boelter, ser leídos por WhatsApp. Y, presumiblemente, por cualquiera que exigiera que la empresa se los entregara también.

WhatsApp lo sabe, y le da igual. Tiene un argumento convincente: la comodidad. Siempre que se cambia de tarjeta SIM, se utiliza un móvil nuevo o por cualquier otro motivo se vuelve a utilizar WhatsApp de nuevas, el sistema genera un nuevo conjunto de claves para asegurarse de que las conversaciones sigan siendo seguras. Mientras tanto, cualquier mensaje enviado estaría en cola en el móvil del remitente a la espera de que el receptor vuelva a conectarse al servicio. Así que WhatsApp ordena al dispositivo del remitente que los reencripte con una clave nueva antes de enviarlos. La idea: nadie tiene por qué perderse ni un mensaje. 

WhatsApp se ha defendido en un comunicado en respuesta a la información de The Guardian:

Cuando introducimos prestaciones como la encriptación extremo a extremo, nos centramos en mantener la sencillez del producto y consideramos cómo se utiliza a diario por todo el mundo. [En] muchas partes del mundo, la gente cambia frecuentemente de dispositivo y de tarjeta SIM. En estas situaciones, queremos asegurarnos de que los mensajes de las personas se entregan y no se pierden por el camino.


Crédito: Justin Sullivan (Getty Images).

Por supuesto, esto significa un riesgo de seguridad. El experto en seguridad y antiguo trabajador de Open Whisper Systems, la empresa que desarrolló el sistema de encriptación utilizado por WhatsApp, Fredric Jacobs, lo explicó así a Gizmodo

Supongamos que yo te envío [un mensaje] a ti, y tu móvil está fuera de línea porque está sin batería, fuera de cobertura, o algo así. Algunos mensajes 'se quedan en cola' en mi móvil, a la espera de comunicarse con el tuyo. El problema es ese momento: los mensajes a la espera, sumados a alguien que conspira con Facebook y WhatsApp para 'falsificar' la condición 'el usuario tienen un móvil nuevo', puede provocar que los mensajes en cola se reencripten y envíen al nuevo móvil falso.

Sin embargo, en realidad resulta difícil de lograr. Además, es improbable que la empresa esté empleando ese truco para espiar nuestros mensajes. Asimismo, WhatsApp ha negado rotundamente a la BBC la idea de que se trate de una puerta trasera diseñada para ayudar a las fuerzas de seguridad. "Esa afirmación es falsa", aseguró la empresa en un comunicado. "WhatsApp no les proporciona a los gobiernos una 'puerta trasera' a sus sistemas y lucharía contra cualquier solicitud gubernamental de crear una puerta trasera", explicó.

Dicho todo eso, sí que es posible en teoría crear una puerta trasera dentro de la app. La condición de intermediario de WhatsApp significa que podría, si quisiera, incluir una llave de encriptación especial que añadiría a un tercero, como por ejemplo el FBI, a la conversación. El periodista de MIT Technology Review Tom Simonite ya explicó cómo podría pasar algo así el año pasado

También merece la pena recordar que los términos de servicio de WhatsApp no prohíben a la empresa almacenar metadatos sobre nuestros mensajes. Así que aunque podría no leer lo que enviamos (la mayor parte del tiempo), sí sabe con quién chateamos, cuándo y con qué frecuencia.

Si le inquieta en exceso la mera idea de que WhatsApp pueda leer sus mensajes, podrá activar un sistema de notificación dentro de la app que le alertará cuando alguien actualice sus claves de encriptación. De esa manera, podrá escoger entre no enviar mensajes que serán copiados y podrían, en teoría, ser leídos. O, aprovechar la comodidad de su servicio y asumir ese pequeño riesgo.

(Para saber más: Guardian, Gizmodo, Una vulnerabilidad en WhatsApp permitiría a la policía pinchar tus mensajes, La encriptación de Apple y WhatsApp beneficia a las empresas de hackeo)

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. ‘Chiplets’: el arma de China en su batalla tecnológica contra EE UU

    Al conectar varios chips menos avanzados en uno, las empresas chinas podrían eludir las sanciones impuestas por el gobierno estadounidense.

  2. Esta ciudad china quiere ser el Silicon Valley de los ‘chiplets’

    Wuxi, el centro chino del envasado de chips, está invirtiendo en la investigación de ‘chiplets’ para potenciar su papel en la industria de semiconductores

  3. La computación cuántica se abre camino a través del ruido

    Durante un tiempo, los investigadores pensaron que tendrían que conformarse con sistemas ruidosos y propensos a errores, al menos a corto plazo. Esto está empezando a cambiar.

    Jay Gambetta dirige el desarrollo de los ordenadores cuánticos de IBM y lideró la iniciativa de llevar estos sistemas a la nube.