¡SORTEOS! Sorteamos dos smartphones Vernee [ Ver sorteos ]

WhatsApp no tiene una puerta trasera pero sí un punto débil en su sistema de cifrado

Esta mañana, un artículo de Guardian afirmaba que WhatsApp posee una puerta trasera que puede ser utilizada para espiar los mensajes de sus usuarios por parte de Facebook o de los gobiernos

La compañía ha respondido rápidamente a esas acusaciones explicando que “WhatsApp no da a los gobiernos una ‘puerta trasera’ a sus sistemas y se opondría a cualquier petición gubernamental de crear dicha puerta trasera.”

El “fallo” descrito en el artículo de Guardian no es nada nuevo, sino que hace tiempo que es bien conocido por los expertos de seguridad, y no hay ninguna prueba de que WhatsApp haya tratado nunca de ocultarlo.

La debilidad existe, pero es una prueba de cómo a veces es difícil conjugar seguridad con usabilidad. The Guardian describe en su artículo un ataque bastante complejo (pero posible) que permitiría a un atacante que se hiciera con el control de un servidor de WhatsApp resetear las claves utilizadas para cifrar mensajes entre dos usuarios y colocarse en medio para interceptar cualquier mensaje intercambiado entre ambos (lo que se conoce normalmente como un ataque man-in-the-middle).

El receptor del mensaje no recibiría ninguna alerta sobre el cambio de claves, y el emisor solo sería alertado si ha activado la opción de “Mostrar notificaciones de seguridad” de la app. Ahora bien, dado que el ataque requiere comprometer la seguridad de los servidores de WhatsApp, no es algo que esté al alcance de cualquier atacante.

Esta debilidad se debe a que WhatsApp ha preferido priorizar la usabilidad de la aplicación frente a la seguridad más estricta. Los usuarios cambian de dispositivo o tarjeta SIM a menudo y, si WhatsApp fuera estricto con la gestión de los claves, los usuarios perderían mensajes cuando cambiasen de dispositivo y las claves antiguas dejasen de ser válidas.

Esto deja en una posición delicada a WhatsApp ya que, al tener acceso a sus propios servidores, podrían recibir una orden del gobierno para interceptar mensajes entre dos usuarios y no podría negarse a hacerlo bajo el argumento de que no es técnicamente posible. Ahora bien, el usuario “espiado” recibiría un aviso si tuviera activada la opción de notificaciones de seguridad de WhatsApp, así que tampoco parece una medida muy útil para espiar a alguien.