Algo huele mal en la seguridad de WhatsApp

La puerta trasera de WhatsApp permite escudriñar los mensajes cifrados.

Exclusivo: los activistas de privacidad critican la vulnerabilidad de WhatsApp como una “gran amenaza a la libertad de expresión” y advierten que podría ser explotada por agencias gubernamentales.

Una puerta trasera de seguridad que se puede utilizar para permitir que Facebook y otros para interceptar y leer mensajes cifrados se ha encontrado dentro de su servicio de mensajería WhatsApp.

Facebook afirma que nadie puede interceptar los mensajes de WhatsApp, ni siquiera la compañía y su personal, asegurando la privacidad de sus más de mil millones de usuarios. Sin embargo, una nueva investigación muestra que la empresa podría de hecho leer los mensajes debido a la forma en que WhatsApp ha implementado su protocolo de cifrado de extremo a extremo.

Los activistas de la privacidad dijeron que la vulnerabilidad es una “gran amenaza a la libertad de expresión” y advirtió que puede ser utilizada por agencias gubernamentales para fisgar a los usuarios que creen que sus mensajes son seguros. WhatsApp ha hecho de la privacidad y la seguridad un punto de venta primario, y se ha convertido en una herramienta de comunicación para activistas, disidentes y diplomáticos.

El cifrado de extremo a extremo de WhatsApp se basa en la generación de claves de seguridad únicas, utilizando el protocolo de señal aclamado, desarrollado por Open Whisper Systems, que se comercializa y verifica entre usuarios para garantizar que las comunicaciones sean seguras y no puedan ser interceptadas por un intermediario. Sin embargo, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios fuera de línea, desconocido para el remitente y el destinatario de los mensajes, y para hacer que el remitente cifrar los mensajes con nuevas claves y volver a enviarlos para los mensajes que no tienen Han sido marcados como entregados.

El destinatario no tiene conocimiento de este cambio en el cifrado, mientras que el remitente sólo se notifica si se han activado las advertencias de cifrado en la configuración y sólo después de que los mensajes se han reenviado. Este re-cifrado y retransmisión permite a WhatsApp interceptar y leer los mensajes de los usuarios.

La puerta trasera de seguridad fue descubierta por Tobias Boelter, un investigador de criptografía e seguridad de la Universidad de California en Berkeley. Le dijo al Guardian: “Si una agencia gubernamental solicita a WhatsApp que revele sus registros de mensajería, puede conceder el acceso debido al cambio de llaves”.

La puerta trasera no es inherente al protocolo de señal. La aplicación de mensajería de Open Whisper Systems, Señal, la aplicación aplicada y recomendada por el denunciante Edward Snowden, no sufre la misma vulnerabilidad. Si un destinatario cambia la clave de seguridad mientras está desconectado, por ejemplo, un mensaje enviado no se entregará y el remitente será notificado del cambio en las claves de seguridad sin volver a enviar automáticamente el mensaje.

La implementación de WhatsApp reenvía automáticamente un mensaje sin entregado con una nueva clave sin avisar al usuario por adelantado o dándoles la capacidad de evitarlo.

Boelter informó de la vulnerabilidad de la puerta trasera de un Facebook en abril de 2016, pero se dijo que era la era del problema, que era “comportamiento esperado” y que no se estaba trabajando activamente. El Guardián ha verificado que la puerta trasera todavía existe.Steffen Tor Jensen, jefe de seguridad de la información y contra-vigilancia digital de la Organización Europea-Bahrein de Derechos Humanos, verificó las conclusiones de Boelter. “WhatsApp puede continuar activando las claves de seguridad cuando los dispositivos están fuera de línea y reenviar el mensaje, sin dejar que los usuarios sepan del cambio hasta después de que se haya hecho, proporcionando una plataforma extremadamente insegura”.Boelter dijo: “[Algunos] podrían decir que esta vulnerabilidad sólo podría ser abusada a espiar en” solo “mensajes específicos, no conversaciones enteras. Esto no es cierto si se considera que el servidor de WhatsApp sólo puede reenviar mensajes sin enviar la notificación “mensaje recibido por el destinatario” (o la doble marca), que los usuarios pueden no notar. Utilizando la vulnerabilidad de retransmisión, el servidor de WhatsApp puede luego obtener una transcripción de toda la conversación, no solo un solo mensaje.La vulnerabilidad pone en tela de juicio la privacidad de los mensajes enviados a través del servicio, que se utiliza en todo el mundo, incluso por personas que viven en regímenes opresivos.El profesor Kirstie Ball, co-director y fundador del Centro de Investigación en Información, Vigilancia y Privacidad, llamó a la existencia de una puerta trasera dentro del cifrado de WhatsApp “una mina de oro para agencias de seguridad” y “una enorme traición a la confianza del usuario”. Ella agregó: “Es una gran amenaza para la libertad de expresión, para poder mirar lo que estás diciendo si lo desea. Los consumidores dirán, no tengo nada que ocultar, pero no sabes qué información se busca y qué conexiones se están haciendo “.En el Reino Unido, la recién aprobada Ley de Poderes de Investigación permite al gobierno interceptar datos a granel de usuarios en poder de empresas privadas, sin sospecha de actividad criminal, similar a la actividad de la Agencia de Seguridad Nacional descubierta por las revelaciones de Snowden. El gobierno también tiene el poder de obligar a las empresas a “mantener capacidades técnicas” que permitan la recolección de datos mediante piratería e interceptación, y requiere que las empresas eliminen la “protección electrónica” de los datos. Intencional o no, la puerta trasera de WhatsApp para el cifrado de extremo a extremo podría utilizarse de tal manera para facilitar la interceptación del gobierno.Jim Killock, director ejecutivo de Open Rights Group, dijo: “Si las compañías pretenden ofrecer encriptación de extremo a extremo, deben ser limpias si se encuentra comprometida, ya sea a través de puertas traseras deliberadamente instaladas o fallas de seguridad. En el Reino Unido, la Ley de Poderes de Investigación significa que los avisos de capacidad técnica podrían ser utilizados para obligar a las empresas a introducir defectos – lo que podría dejar vulnerables los datos de las personas.Un portavoz de WhatsApp dijo al Guardian: “Más de 1.000 millones de personas utilizan WhatsApp hoy porque es simple, rápido, confiable y seguro. En WhatsApp, siempre hemos creído que las conversaciones de las personas deben ser seguras y privadas. El año pasado, dimos a todos nuestros usuarios un mejor nivel de seguridad haciendo que cada mensaje, foto, video, archivo y llamada de extremo a extremo cifrados de forma predeterminada. Al introducir características como encriptación de extremo a extremo, nos centramos en mantener el producto sencillo y tener en cuenta cómo se utiliza cada día en todo el mundo.“En la implementación de WhatsApp del protocolo de señal, tenemos una configuración de” Mostrar notificaciones de seguridad “(opción en Configuración> Cuenta> Seguridad) que le notifica cuando el código de seguridad de un contacto ha cambiado. Sabemos que las razones más comunes por las que esto sucede son porque alguien ha cambiado de teléfono o ha reinstalado WhatsApp. Esto se debe a que en muchas partes del mundo, la gente cambia frecuentemente dispositivos y tarjetas Sim. En estas situaciones, queremos asegurarnos de que los mensajes de las personas sean entregados, no perdidos en tránsito “.Cuando se le preguntó específicamente si Facebook / WhatApps había accedido a los mensajes de los usuarios y si lo había hecho a petición de agencias gubernamentales u otros terceros, dirigió al Guardian a su sitio que detalla datos agregados sobre solicitudes gubernamentales por país.En agosto de 2015, Facebook anunció un cambio en la política de privacidad que rige WhatsApp, que permitió a la red social para combinar los datos de los usuarios de WhatsApp y Facebook, Incluidos los números de teléfono y el uso de la aplicación, con fines publicitarios y de desarrollo.Facebook detuvo el uso de los datos de usuarios compartidos con fines publicitarios en noviembre, después de la presión del grupo de trabajo del Grupo de trabajo del artículo 29 de la Agencia de Protección de Datos paneuropeos en octubre. La comisión europea presentó cargos contra Facebook por proporcionar información “engañosa” en el período previo a la adquisición de la red social del servicio de mensajería WhatsApp, tras su cambio en el intercambio de datos.Fuente: The Guardian