Los investigadores de seguridad descubren una puerta trasera en WhatsApp

Se dice que los investigadores de seguridad descubren una puerta trasera en WhatsApp. Debería permitir a Facebook o a los gobiernos leer los mensajes de los usuarios sin ser notados a pesar de la codificación. El proveedor del cifrado lo contradice.

Los investigadores de seguridad descubren una puerta trasera en WhatsApp

La encriptación de extremo a extremo de WhatsApp se considera segura, y los usuarios de países con gobiernos represivos de todo el mundo confían en que sus conversaciones no se lean junto con ellos. Pero como informa ahora “”The Guardian””, la confianza no está necesariamente justificada.

El criptógrafo Tobias Boelter de la Universidad de California es el descubridor de la supuesta brecha. Descubrió que el cifrado desarrollado por Open Whisper Systems tiene una vulnerabilidad potencial. El cifrado se basa en el hecho de que se generan claves únicas, que sólo permiten a los remitentes y destinatarios leer un mensaje. Pero whatsApp le permitiría crear un nuevo par de claves si un usuario está desconectado y aún no se ha marcado como enviado un mensaje, escribe “”The Guardian””. El contenido se decodifica temporalmente.

En realidad, los usuarios deben ser advertidos cuando esto suceda. Pero el destinatario nunca será alertado y el remitente sólo será alertado si lo ha activado en la configuración, dijo Boelter. Pero incluso entonces, la advertencia sólo llegará después de que el mensaje haya sido enviado.

De hecho, casi ningún usuario de WhatsApp ha activado la opción que se encuentra en la configuración de Cuenta – Seguridad – Ver notificaciones de seguridad. Dice que se le notificará cuando el número de seguridad haya sido cambiado. WhatsApp muestra las claves como código QR o como números de 60 dígitos. Estos son sólo sustitutos, las teclas reales no se pueden leer de esta manera.

Boelter dice que WhatsApp puede leer no sólo mensajes individuales, sino también conversaciones completas. Los servidores podían reenviar mensajes sin acuse de recibo. Si el remitente no se da cuenta de ello, WhatsApp puede utilizar el truco offline para toda la conversación.

El criptógrafo informó a Facebook de la vulnerabilidad al propietario de WhatsApp en abril de 2016. Se le dijo que era un “”comportamiento esperado”” y que él lo sabía. Tal vez esto podría cambiar en el futuro, pero por el momento no están trabajando en ello.

Un orador de WhatsApp respondió “”The Guardian”” a una solicitud y, en muchas partes del mundo, los usuarios cambiaron a menudo de smartphones y tarjetas SIM. En tales situaciones, se pretende garantizar que los mensajes se transmitan y no se pierdan durante la transmisión.

¿Por qué la opción para alertas de cambio de clave no está activa después de la instalación?

Signal, el Messenger recomendado por Edward Snowden de Open Whisper Systems, no tiene esta “”debilidad””. Si aquí se modifica una clave, la transmisión falla y se informa al remitente. En el blog de la empresa, Open Whisper Systems hace hincapié en que WhatsApp no tiene puerta trasera. El intercambio de claves con hardware o tarjeta SIM modificados no es inusual,””””así es como funciona el cifrado””””. WhatsApp sólo tiene su propia forma de tratar las notificaciones y terminar automáticamente una transmisión, según Open Whisper Systems. Eso podría ser discutido.

Teóricamente, el Messenger puede intentar acceder a los mensajes en sus servidores. WhatsApp funciona de tal manera que el proveedor no puede saber si un usuario ha activado las advertencias o no. Así que lo que pasa siempre corre el riesgo de ser atrapado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *