Whatsapp nuevamente cuestionado por una falla en su seguridad

Los últimos datos oficiales de la compañía son de febrero de 2016 e indican que Whatsapp cuenta con aproximadamente mil millones de usuarios en todo el mundo, lo que la hace la segunda comunidad virtual más popular solamente por detrás de Facebook, y la más popular de mensajería, junto a Facebook Messenger.

Todos estos servicios son propiedad de Facebook, que compró Whatsapp en 2014 por alrededor de $20 millones de dólares.

Más allá de estos datos, su enorme crecimiento es algo que todos hemos podido comprobar de forma empírica en nuestros propios círculos sociales y familiares. Ya no solamente todos nuestros amigos tienen Whatsapp, sino también nuestros padres y abuelos.

• Tal vez por ese motivo: Whatsapp anunció un cambio que le pondrá fin a algunas bromas pesadas

Y con su crecimiento mundial aumentaron inevitablemente también las preocupaciones en torno a la seguridad y la privacidad.

Mucho más después de quedar en manos de Facebook, una compañía que ha sido objeto de muchos cuestionamientos sobre estos temas.

Fallas de seguridad y mejorías

• En 2011, un investigador de seguridad cibernética probó que había un método mediante el cual las cuentas de usuarios podían ser usurpadas, debido a una falla en el proceso de autentificación (ese que consiste en enviar un SMS de verificación al usuario).
• Ese mismo año, otra falla de seguridad fue detectada cuando se reportó que la comunicación por Whatsapp era susceptible de ser sometida a análisis de paquetes, ya que no estaba encriptada y consistía en texto sin formato.
• Eventualmente los mensajes fueron encriptados pero surgieron dudas sobre el método de cifrado utilizado, al que algunos definieron como “defectuoso”.
• Sobre la marcha, la compañía debió ir realizando ajustes de seguridad y privacidad ante fallas probadas por hackers e investigadores.
• Gradualmente comenzó a implementar el cifrado de extremo a extremo, hasta que este año esta encriptación terminó por incluir también las llamadas de voz, la transferencia de archivos y toda comunicación, por lo que su seguridad pasó a ser muy bien valorada.

Entre otras cosas, su seguridad fue reconocida por una organización independiente por tener encriptadas las comunicaciones en tránsito, por tener encriptación cuyas claves no están en manos del proveedor, por permitir a los usuarios verificar la identidad de otros contactos y por asegurar los mensajes pasados en caso de que la clave de cifrado sea robada. Sin embargo, ahora The Guardian saca a la luz una nueva e importante falla de seguridad.

• Ver también: ¿Por qué es TAN IMPORTANTE que Whatsapp encripte tus conversaciones?

La "puerta trasera" de la seguridad

Según el reporte, se trata de una “puerta trasera” de seguridad que puede permitir a Facebook y otros servicios acceder a los mensajes cifrados.

Según Facebook, propietaria de Whatsapp, ni siquiera la compañía y su personal podían interceptar mensajes en la plataforma.

Sin embargo, se cita una nueva investigación que prueba que la compañía podría en efecto acceder a los mensajes, debido a la forma en que se ha implementado su protocolo de cifrado de extremo a extremo.

Este sistema de cifrado se basa en la generación de claves de seguridad únicas a través del protocolo Signal (creado por la compañía  Open Whisper Systems), que son intercambiadas y verificadas directamente entre usuarios, para evitar un intermediario.

Sin embargo, esta investigación sostiene que Whatsapp tiene la posibilidad de forzar la generación de nuevas claves de cifrado para usuarios que no están conectados, sin que el emisor ni el receptor de los mensajes lo noten.

Con esto puede hacer que el emisor reenvíe un mensaje que había quedado marcado como "no recibido", pero ahora con estas nuevas claves de encriptación.

El receptor no se entera de este cambio de cifrado, mientras que el que envió el mensaje solo lo notará si ha marcado antes la opción de “mostrar las notificaciones de seguridad” en Ajustes.

• Ver también: ¿Cuán fácil es hackear una cuenta de WhatsApp?

Esta “puerta trasera” en el sistema de seguridad fue descubierta por Tobias Boelter, una criptógrafo e investigador de seguridad de la Universidad de California en Berkeley, que consideró que puede ser muy grave y significar “una enorme amenaza a la libertad de expresión”.

“Si una agencia de gobierno le pide a Whatsapp que revele sus archivos de mensajería, efectivamente podrá acceder a ellos debido al cambio en las claves de cifrado”, dijo a The Guardian.

Boelter había notificado a Facebook de esta falla en abril de 2016, pero le dijeron que ya tenían conocimiento al respecto, que era algo “esperado” y que no se estaba trabajando para corregirla.

La falla todavía sigue activa.

El problema, según explicó el investigador de Berkeley, es que esta falla no solo permite a la compañía o a eventuales terceros acceder a un mensaje concreto que no ha sido marcado como recibido (es decir, con el doble tick), sino que, a partir de él, el servidor de Whatsapp puede acceder a toda la conversación que incluyó ese mensaje.

La falla no es inherente al protocolo utilizado por Whatsapp. El servicio de mensajería Signal, de la compañía creadora del protocolo, no posee esta falla. Es el servicio utilizado y recomendado por Edward Snowden.

En agosto de 2016 Whatsapp anunció que comenzaría a compartir la información de los usuarios con Facebook, entre otras cosas el número de teléfono, para mejorar las sugerencias de amigos y las publicidades recibidas.

Una organización independiente europea puso en tela de juicio el procedimiento, sugiriendo que la información sobre los nuevos términos de servicio y políticas de privacidad era insuficiente, por lo que cuestionaron la validez del consentimiento del usuario.

Después de este y otros cuestionamientos, Facebook decidió suspender el uso de información compartida con Whatsapp.

• Ver también: ¿Qué quiere hacer Facebook con la información obtenida desde tu WhatsApp?