Hace unos días el experto en cifrado y seguridad, Tobias Boelter, sacó a la luz una vulnerabilidad de WhatsApp que puede permitir a la propia compañía y a terceros (como agencias gubernamentales) interceptar y leer los mensajes que supuestamente son privados y están cifrados. Solamente funciona en determinados casos concretos (cuando el móvil está offline, com overemos más adelante). Se trata de una vulnerabilidad considerada como una puerta trasera o backdoor, es decir, un fallo o bug en un sistema o aplicación que puede permitir accesos no autorizados a los datos.

Muchos de los sistemas aplicaciones o programas tienen bugs de este tipo. Algunos de ellos permanecen ocultos y no llegan a descubrirse nunca. Otros, son descubiertos por cibercriminales, que se aprovechan de ellos para sacarles provecho y lanzar ciberataques o robar información. Otros fallos, descubiertos por hackers (que son los buenos), o investigadores de seguridad, salen a la luz. En el caso de servicios como el de WhatsApp, usado por millones de personas en todo el mundo, suelen ser los que están más en el punto de mira, tanto de los unos como de los otros, y se acaban publicando sus fallos y vulnerabilidades, que por otro lado suelen ser numerosos.

En este caso, tiene relación con el funcionamiento de las claves de cifrado de la aplicación, y la forma en la que WhatsApp ha implementado su protocolo de cifrado punto a punto o extremo a extremo. Una vulnerabilidad que podría poner en riesgo la seguridad de los datos, que podría ser usada para leer mensajes, bien por cibercriminales o por agencias gubernamentales.

Cifrado de extremo a extremo (en inglés: end-to-end encryption, o E2EE), es un protocolo que permite que una información enviada solo pueda ser leída por el emisor y el receptor, de forma que no pueda ser interceptada por una tercera persona (lo que se denomina en ciberseguridad un “man in the middle”). WhatsApp usa el protocolo de cifrado de Signal creado por Open Whisper Systems, la aplicación avalada por su seguridad. Todas las comunicaciones enviadas entre usuarios con cifrado E2EE es privada, a no ser que exista una backdoor o puerta trasera, como sucede en este caso. La vulnerabilidad de WhatsApp no tiene relación con el cifrado de Signal, sino con el propio funcionamiento de la app.

Este sistema se basa (desde hace unos meses) en la generación de claves de seguridad únicas, usando el protocolo de Signal. Cada usuario, tiene una clave pública (que conocen todos sus contactos), y una clave privada (que solamente está en el dispositivo del usuario). Cuando se cambió a este protocolo, todos los usuarios de la aplicación recibieron un mensaje como este:

mensaje whatsapp cifrado

Seguro que recibiste en su día este mensaje: “Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado de extremo a extremo. Pulsa para más información”. Esto suponía que nadie puede leer los mensajes, salvo el emisor y el receptor, y que ni siquiera los empleados de la compañía (o gobiernos que lo solicitaran…) podrían acceder a los mensajes, que dependen de las claves privadas de los usuarios.

Pero la investigación demuestra que la empresa sí que se puede acceder a los mensajes de sus (más de mil millones) de usuarios, precisamente por cómo la app ha implementado este protocolo de cifrado de extremo a extremo. Éste está basado en la generación de claves de seguridad únicas, usando el protocolo desarrollado por Open Whisper Systems. Pero según el investigador, WhatsApp sí que puede forzar la generación de nuevas claves de cifrado.

The Guardian ha sido el primero en darle visibilidad al fallo descubierto por Tobias Boelter, investigador de la Universidad de Berkeley, en California (EE.UU.). El medio ha conseguido hablar con portavoces de Facebook  (dueño de WhatsApp), que han asegurado que nadie puede interceptar los mensajes enviados a través de la aplicación. Tampoco sus empleados. Sin embargo, el investigador lo ha puesto en tela de juicio, y ha colgado este documento en el que explica técnicamente la vulnerabilidad y sus consecuencias, y ha publicado este vídeo en el que hace una demostración del fallo, y cómo ha podido aprovecharse de él.

También las llamadas a través de la app:

Este fallo, que fue descubierto en mayo del año pasado, ya fue reportado a Facebook, pero parece ser que todavía no se ha hecho nada al respecto.

¿Por qué el protocolo de cifrado en WhatsApp tiene esta puerta trasera?

Como hemos dicho, el protocolo de cifrado E2EE de Signal no tiene ningún problema, sino que en este caso la vulnerabilidad se debe a WhatsApp. Y es que la app ha implementado una puerta trasera en el protocolo de Signal, dándole la habilidad para forzar la generación de nuevas claves de cifrado a los usuarios que se encuentran offline, o con el teléfono apagado, y hacer que el que envía el mensaje vuelva a cifrar los mensajes con una clave y que esta vuelva a ser enviada por cada mensaje que no haya sido marcado como entregado. Esto significa que puede generar claves que pueden ser vistas por WhatsApp o por terceras partes, sin el conocimiento del usuario.

Según explica The Guardian, la compañía ha afirmado que ha implementado esta puerta trasera para añadir usabilidad, para asegurarse de que los mensajes llegues a los destinatarios, aunque estos se encuentren temporalmente offline. Por ejemplo, un usuario que haya desinstalado la aplicación porque esté cambiando de móvil, y vaya a instalarlo en otro dispositivo, no recibiría los mensajes una vez instalara la app en el nuevo smartphone de no ser por esta puerta trasera.

Cómo funciona la vulnerabilidad

Este fallo solamente funciona cuando el destinatario está “offline”. Cuando un usuario envía un mensaje a través de WhatsApp a otro usuario que tiene el teléfono apagado, no tiene cobertura, lo tiene en modo avión, o ha desinstalado la aplicación, el mensaje aparece con un solo “tic”. Los mensajes que se envíen durante el periodo de tiempo en el que el destinatario está offline, se almacenará en los servidores de WhastApp con la clave pública del teléfono del emisor. Si los mensajes no han podido ser entregados, la aplicación solicitará que el emisor de los mensajes cifren y envíen de nuevo los mensajes. Pero estarán cifrados con la clave pública del destinatario, como explica el experto en seguridad Chema Alonso en su blog.

the backdoor whatsapp

Explicación de la puerta trasera. Fuente: Blog de Tobias Boelter

Cómo puedes protegerte

Se trata de una vulnerabilidad que no puede ser controlada por los usuarios, pero sí podemos por lo menos controlar cuándo y cómo enviar los mensajes. Para empezar, está desaconsejado enviar información muy confidencial, y si usas esta app para evitar espionaje debido a su cifrado extremo a extremo, ya que la interceptación por parte de agentes gubernamentales es posible.

Para asegurarte de que el cifrado está funcionando, puedes acceder a las opciones de seguridad (En Configuración – Cuenta – Seguridad), y activar el botón de “Mostrar las notificaciones de seguridad”. Esto no solucionará el fallo, o impedirá que WhatsApp pueda descifrar los mensajes, pero el usuario será alertado sobre cuándo se produce un posible cambio de claves en una conversación, y no escribir mensajes que puedan ser leídos por terceros. Otra opción es usar aplicaciones que sí usan el protocolo de cifrado correctamente, como es el caso del proveedor del propio protocolo, Signal, que está recomendada por el propio Edward Snowden.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

1 comentario

Deja un comentario