Un investigador ha descubierto un agujero de seguridad en WhatsApp que permite a terceros interceptar y leer los mensajes cifrados. Tobias Boelter, especialista en criptografía y seguridad de la Universidad de Berkeley, California, cree que la falla contradice la afirmación de WhatsApp de que nadie es capaz de descifrar los mensajes que se envían los usuarios. “Ni cibercriminales. Ni hackers. Ni regímenes opresivos. Ni siquiera nosotros”, había dicho la empresa al implementar el cifrado de punto a punto.
Pero en una exclusiva con The Guardian, Boelter afirmó que en abril de 2016 le había notificado a Facebook, dueña de la app de mensajería, que existía este problema. En respuesta, la compañía dijo que sabía del tema y que no estaba trabajando activamente en él, ya que se trataba de un comportamiento esperado. Ahora bien, ¿qué es exactamente lo que se descubrió?
Todo radica en la forma en que WhatsApp implementó el cifrado de punto a punto. Según The Guardian, "se basa en la generación de claves de seguridad únicas, utilizando el aclamado protocolo Signal (...) que se intercambian y verifican entre usuarios para garantizar que las comunicaciones son seguras". Pero, al parecer, la app "tiene la habilidad de forzar la generación de nuevas claves de cifrado para usuarios offline, desconocidas para el remitente y el destinatario". De esta forma, mientras los mensajes no se marcan como entregados (es decir, no aparecen las dos tildes sino una sola), la app puede hacer que el remitente vuelva a cifrar el mensaje con nuevas claves, para enviarlo otra vez.
El receptor no sabrá sobre este cambio, mientras que el remitente solo será notificado si optó por recibir advertencias sobre cifrado en sus ajustes, y solo luego de que el mensaje se haya reenviado.
Es este proceso el que según Boelter permitiría a la compañía leer los mensajes supuestamente cifrados. Sin embargo, como él mismo notó, si una agencia de seguridad nacional le pidiera a WhatsApp que entregue información, también podría pedirle que la envíe descifrada. Por lo tanto, tiene que tener una forma de acceder a los mensajes.
Sin dudas, la noticia es sorprendente no solo por su impacto para los usuarios, sino también porque WhatsApp ha hecho de la privacidad y seguridad una estrategia comercial, tratando de satisfacer a sus más de mil millones de usuarios y a los grupos defensores de la privacidad.
Actualización 13/01/2016, 16:00 hs.: WhatsApp respondió al artículo de The Guardian negando que haya un backdoor en su app. "WhatsApp no les da a gobiernos una 'puerta trasera' a sus sistemas y rechazaría cualquier pedido gubernamental de crear un backdoor", dijo en un comunicado a TechCrunch. "La decisión de diseño referenciada en el artículo de The Guardian previene que millones de mensajes se pierdan". La compañía afirma que una característica intencional de la implementación del protocolo de Signal incluye la posibilidad de recibir notificaciones cuando el código de seguridad de un contacto ha cambiado; por lo tanto, se le haría saber si su clave fue modificada y cuándo, de manera que se sepa si hay riesgo de que los mensajes estén siendo interceptados. Se activa en Ajustes > Cuenta > Seguridad.
Y tú, ¿qué opinas?