WhatsApp es uno de los servicios de mensajería más populares del mundo, y a pesar de estar muy por detrás de su competencia en materia de seguridad y privacidad, la compañía propiedad de Zuckerberg había “prometido” mantener nuestras conversaciones seguras y privadas gracias al cifrado punto a punto.
Sin embargo, el reputado medio de comunicación The Guardian, ha acusado a WhatsApp de tener una ‘puerta trasera’ por la cual se puede llegar a cambiar las claves de cifrado de la conversación para tener acceso a los mensajes sin que los usuarios siquiera puedan notarlo, lo peor es que vulnerabilidad puede ser aprovechada por Facebook y distintas agencias de seguridad como la NSA, el FBI y demás organizaciones gubernamentales y de seguridad y espionaje a nivel mundial.
La mencionada puerta trasera, fue descubierta por el criptólogo Tobias Boelter de la Universidad de California, quien mencionó que halló la brecha de seguridad hace un año, sin embargo, al hacerle saber a Facebook sobre este inconveniente la empresa responsable por WhatsApp solo le informó que tenían identificado el problema y trabajarían para resolverlo. Un año más tarde la puerta trasera sigue abierta.
La pregunta es… ¿por qué WhatsApp se toma esto tan a la ligera? Una posible respuesta llega por parte del mismo Tobias Boelter quien asevera que este “error” de seguridad permite a Facebook acceder a las conversaciones de los usuarios, aunque la empresa se jacte de decir lo contrario. Por otro lado esta es una mina de oro para las agencias de seguridad y espionaje que pueden acceder de forma muy sencilla a los registros de mensajería con este cambio de llaves en el cifrado punto a punto.
Para entender el problema basta con conocer que con el cifrado activado en una conversación solo los equipos de los participantes en la conversación sabrán cómo desencriptar los mensajes enviados por el canal de comunicación.
Ahora, la falla consiste en que WhatsApp tiene la posibilidad de crear nuevas claves de cifrado cuando uno de los usuarios se ha desconectado o está fuera de línea, de esta forma puede interceptar todos los mensajes que no se hayan marcado como entregados, las claves de cifrado nuevas no serán notificadas al remitente, y el destinatario solo podría darse cuenta si tuviera activada la opción de advertencias de cifrado en la aplicación.
Una vez conectados los usuarios las claves volverían a cambiarse y nadie se dará cuenta que por segundos o milisegundos tuvieron una brecha de seguridad suficiente como para que cualquier organismo interesado pueda acceder a su conversación de forma muy sencilla.
Cualquiera podría decir que entonces el peligro es de carácter bajo, pues sólo tendrían acceso a los mensajes que se envíen en estas condiciones, sin embargo, una vez abierta la brecha en el servidor de WhatsApp, se puede tener acceso a una transcripción entera de la conversación sin que nosotros tengamos la más mínima idea de lo que está pasando. Un problema de seguridad que brinca de lo simple a lo catastrófico.
Hasta ahora WhastApp no ha hecho nada más que negar las acusaciones realizadas por The Guardian (a pesar de que ya habían reconocido el problema hace un año), quien tiene la teoría de que WhatsApp o Facebook no tiene la intención de repararla porque a la información se le puede poner el precio que se quiera cuando sea. O mejor dicho… la información es poder.
Referencia: The Guardian , The Verge, Android Police