WhatsApp y WhatsApp Web, tus mensajes podrían ser interceptados (o no…)

Publicado el 15 enero 2017 por Tecnodiario @tecnodiario_

A pesar de que hace unos meses WhatsApp implementara el cifrado extremo a extremo tal y como anunciamos aquí, y de que el gobierno americano afirmara que no dejaría a WhastApp operar detrás de un cifrado punto a punto, el culebrón sigue a estas alturas, y con más fuerza que nunca.

Vulnerabilidad en WhatsApp

Según el diario inglés The Guardian, una nueva investigación que recoge el citado periódico británico revela que la compañía podría, de hecho, leer mensajes cifrados debido a la manera en que WhatsApp ha implementado su llamado protocolo de codificación de extremo a extremo.

El problema, según exponía el diario consistía en cómo WhatsApp podría forzar a un cliente móvil del servicio a generar nuevas claves de cifrado, algo que haría posible que los responsables del servicio pudieran interceptar ese intercambio de claves y, por lo tanto, interceptar los mensajes posteriores.

Fuentes anuncian que no hay tal fallo

Sin embargo, desde el blog de seguridad SlashCrypto, afirma que este supuesto agujero de seguridad, no es tal.

" esta es la forma en la que funciona un ataque man-in-the-middle, y solo funciona cuando ambas partes -que se comunican con la otra- no verifican la huella digital de esas claves intercambiadas "

El fallo de seguridad en WhatsApp, no es un fallo de seguridad

Numerosos expertos en seguridad han reaccionado ante el artículo publicado por The Guardian, lanzando críticas muy ácidas contra lo que no es ni más ni menos, que un artículo realizado buscando más bien el sensacionalismo que la realidad técnica.

Estas duras críticas apuntan a que es un error de concepto, como mínimo. El uso del protocolo de cifrado Signal desarrollado por la empresa Open Whisper Systems funciona a través de unas claves de cifrado que deben ser verificadas, y según afirma Frederic Jacobs, responsable del desarrollo para plataformas iOS de la citada empresa:

It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.

- Frederic Jacobs (@FredericJacobs) 13 de enero de 2017

Bajo nuestro punto de vista, siempre que se publican este tipo de noticias suele haber alguno motivo detrás, donde el más común suele ser ganar audiencia. Pero no somos los únicos que pensamos que estamos hablando de desinformación en grado mayúsculo.

Por qué no es un fallo sino una funcionalidad

A este respecto, podemos citar a Alex Muffer, otro experto que en una entrevista para la web de tecnología Gizmodo afirmó que:

" no es un error, funciona como se diseñó para hacerlo y alguien está diciendo que es un "agujero" y pretendiendo que es un caos cuando el hecho es que se puede ignorar totalmente ".

Una de las cosas que WhatsApp permite hacer y además de forma totalmente transparente para el usuario es que, cuando cambias de teléfono por el motivo que sea -fallo, nuevo modelo, incluso un reset a parámetros de fábrica- al volver a instaler WhatsApp por primera vez en el nuevo teléfono y continuas una conversación, las claves de cifrado se renegocian para ajustarse al nuevo teléfono.

En conclusión, una de esas noticias que sin duda presentarán en los telediarios para cubrir cualquier hueco y generará una sensación de inseguridad para muchos.