Grave fallo de WhatsApp permite a gobiernos o Facebook interceptar y leer los mensajes - anonopshispano


Grave fallo de WhatsApp permite a gobiernos o Facebook interceptar y leer los mensajes


Hace medio año que le avisaron de esta falla, pero, a decir del investigador, no hicieron nada por repararla



WhatsApp y Facebook: compartición de datos. FOTO: MakeUseOf / Especial

WhatsApp y Facebook: compartición de datos. FOTO: MakeUseOf / Especial

 

San Francisco, California, 13 de enero 2016 (anonopshispano.com).- La empresa WhatsApp, propiedad de Facebook, está nuevamente en el ojo del huracán, al ver en tela de juicio su afirmación de que todo el contenido compartido por su controvertida aplicación está cifrado “de extremo a extremo” y ni siquiera sus empleados pueden verlo. Un investigador en criptanálisis, entrevistado por el diario inglés The Guardian, afirma que sí. Y lo que es peor, algunos piensan que está hecho a propósito.

 

De acuerdo con Tobias Boelter, experto en análisis criptográfico de la Universidad de Berkeley, en California, Estados Unidos, la encriptación de WhatsApp sufre de una falla de seguridad que permitiría a cualquier tercero hacerse con el contenido de los mensajes de la aplicación, simplemente interceptando las claves de encriptación, o bien, obteniéndolas a través de WhatsApp. Esta vulnerabilidad permitiría a Facebook, o incluso a agencias de gobierno, hacerse con cualquier conversación o foto muy fácilmente, sin que el mismo usuario se percate de ello. Las claves son de la organización Open Whisper, sin fines de lucro, y son emitidas bajo el protocolo Signal, similar al usado por la aplicación que usa Edward Snowden. Signal, no obstante, carece de esta grave vulnerabilidad.

 

El experto explicó que la encriptación de WhatsApp se basa en la manera en que genera claves de encriptación cuando el usuario está desconectado. Estas claves, que se almacenan en el dispositivo y que contienen el algoritmo que ofusca los mensajes para que nadie los pueda leer, se regeneran cuando el usuario se coloca fuera de línea o cambia de dispositivo. Cuando el usuario regresa a la conexión, el software genera nuevas claves, y los mensajes no entregados se envían de forma automática, sin que ninguno de los dos participantes sea notificado, a menos que específicamente lo soliciten. Los mensajes enviados se generan con la nueva clave, y mediante este fallo, WhatsApp puede fácilmente obtener la nueva clave y dársela a quien sea, incluyendo gobiernos. Inclusive podría forzarse la desconexión del usuario, y forzar la generación de estas claves únicas. A esto se le llama “vulnerabilidad de retransmisión”.

RELACIONADO:  Sin sonrojarse, admite gobierno de EEUU haber financiado la filtración de los #PanamaPapers

https://www.youtube.com/watch?v=M_mksgKMtUY

El experto agregó “si a WhatsApp le piden en el gobierno estas claves, no tendría ninguna dificultad para dárselas”. Según Boelter, avisó a Facebook, propietaria de Facebook, sobre este fallo, desde abril del 2016, pero al no ver mejoras, decidió darlo a conocer. Esta vulnerabilidad, correctamente aplicada, permitiría leer no solamente los mensajes generados tras el cambio de clave, sino toda la conversación.

 

Activistas por la privacidad en internet han protestado por esta vulnerabilidad (“una mina de oro para los gobiernos”, han dicho), y muchos afirman que se trata de un “backdoor” hecho a propósito para espiar a los usuarios. Kirstie Ball, co-fundadora del Centro para la Investigación de la Información, Vigilancia y Privacidad, se refirió al hecho como una “traición a la confianza del usuario” y dijo que “aunque los usuarios digan que no tienen nada qué ocultar, el problema es que se pueden establecer conexiones cuya finalidad se desconoce”.

 

La empresa se defendió alegando a Cnet que la falla no es de ellos, sino del mismo diseño de la encriptación, lo que no permite “garantizar” las claves de sus más de 1000 millones de usuarios, a pesar de que Signal tiene la misma encriptación, y no tiene este fallo. Recomendó a los usuarios activar la opción para verificar las claves antes de enviar los mensajes, y reiteró que no brinda información a agencias de seguridad. Sin embargo, no anunció si hará alguna actualización, o si piensa corregir este fallo.

La cuestión permanece en el aire, y si WhatsApp no da una explicación clara y sencilla, no corrige el problema, y no demuestra que esta vulnerabilidad no está puesta a propósito, pronto podría ver cómo la confianza de sus usuarios se desvanece, con sus cada vez más polémicas medidas y su aparentemente ilimitada voracidad con los datos.

 

Staff