La vulnerabilidad de WhatsApp resultó ser una función poco conocida
El viernes, el periódico británico The Guardian acusaba a WhatsApp de tener una “puerta trasera” basándose en un problema de seguridad que les había comunicado el experto de seguridad Tobias Boelter de la Universidad de California en Berkeley. ¿Pero es este una acusación veraz?
El informe describe como la app genera un nuevo par de claves de cifrado para usuarios offline, por ejemplo cuando alguien pierde o cambia de móvil o de número de teléfono y después reinstala el programa de mensajería.
Los mensajes enviados mientras el usuario receptor está en esta situación serán re-cifrados y esperarán a que el receptor vuelva estar online para re-enviarlos. Esto puede ser usado, en teoría, para que los servidores de WhatsApp fuercen que esos mensajes sean reenviados usando claves que estén bajo su control, sin que el emisor pueda parar a ese “hombre-en-el-medio” de ninguna manera.
Uno de los creadores del protocolo de cifrado usado por WhatsApp, Moxie Marlinspike, ha declarado que llamar a este cambio en las claves de cifrado “puerta trasera” es un error ya que se detectan inmediatamente y pueden ser verificadas. Además afirma que es es muy positivo que The Guardian se preocupe por la privacidad de sus lectores, pero que debería contrastar las noticias que publican.
Para que algo se llame “puerta trasera” tiene que cumplir dos condiciones, más allá de simplemente comprometer la seguridad o privacidad. Primero, debe ser puesto intencionadamente, independientemente de sus que sus intenciones sean buenas o malas. Segundo, no debe estar documentado, o lo que es lo mismo, solo las personas que la colocaron deben conocer su existencia.
En cuanto una “puerta trasera” es de dominio público, deja de ser una “puerta trasera” y se convierte en una vulnerabilidad de seguridad.
Por lo tanto, no podemos llamar a esta característica de WhatsApp como “puerta trasera” ya que es una función de diseño, aunque debería ser más conocida.
El cifrado se está convirtiendo en un tema muy espinoso. No queremos entrar en la discusión si ese diseño de la app es el más seguro, lo que si nos parece interesante es si todo este revuelo sirve para que sus usuarios entiendan mejor como funciona ese producto en vez de simplemente utilizarlo sin hacerse más preguntas.
Fue originalmente publicado en: Sophosiberia.es