Estudio asegura que pueden espiar tus mensajes aunque estén cifrados
La seguridad de WhatsApp no es tan eficiente como pensábamos y aseguran que los hackers si pueden interceptar mensajes a pesar de que estén cifrados.
Recordemos que desde el año pasado cada conversación estaba cifrada de extremo a extremo en la aplicación, aunque eso parece no ser suficiente para combatir a los ciberdelincuentes.
Vulnerada la seguridad de WhatsApp
Según un estudio citado por The Guardian, una puerta trasera de seguridad puede utilizarse para que Facebook y otros intercepten y lean mensajes cifrados que se han encontrado dentro de WhatsApp.
Defensores de privacidad dijeron al periódico británico que esta vulnerabilidad es una “gran amenaza a la libertad de expresión” y señalaron que podría ser empleado por agencias de gobierno para espiar a los usuarios.
A pesar de que existe un protocolo de cifrado desarrollado por Open Whisper Systems, WhatsApp tiene la capacidad de obligar a la generación de nuevas claves de cifrado para usuarios fuera de línea, lo cual hace sin que se entere el remitente ni el destinatario de los mensajes. Y para hacer que los mensajes de los remitentes se vuelvan a cifrar con claves nuevas y enviarlos otra vez por cualquier mensaje que no se ha marcado como entregado.
El estudio indica que el destinatario no está al tanto de ese cambio en el cifrado, mientras que el emisor solamente es notificado si ha activado las advertencias de cifrado en la configuración , y solamente después de que los mensajes han sido reenviados.
Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, Berkley, es el autor del estudio e informó sobre la vulnerabilidad a Facebook en abril de 2016, aunque le dijeron que la empresa estaba al tanto del problema. The Guardian asegura que verificó que la puerta trasera todavía existe.
Según un estudio citado por The Guardian, una puerta trasera de seguridad puede utilizarse para que Facebook y otros intercepten y lean mensajes cifrados que se han encontrado dentro de WhatsApp.
Defensores de privacidad dijeron al periódico británico que esta vulnerabilidad es una “gran amenaza a la libertad de expresión” y señalaron que podría ser empleado por agencias de gobierno para espiar a los usuarios.
A pesar de que existe un protocolo de cifrado desarrollado por Open Whisper Systems, WhatsApp tiene la capacidad de obligar a la generación de nuevas claves de cifrado para usuarios fuera de línea, lo cual hace sin que se entere el remitente ni el destinatario de los mensajes. Y para hacer que los mensajes de los remitentes se vuelvan a cifrar con claves nuevas y enviarlos otra vez por cualquier mensaje que no se ha marcado como entregado.
El estudio indica que el destinatario no está al tanto de ese cambio en el cifrado, mientras que el emisor solamente es notificado si ha activado las advertencias de cifrado en la configuración , y solamente después de que los mensajes han sido reenviados.
Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, Berkley, es el autor del estudio e informó sobre la vulnerabilidad a Facebook en abril de 2016, aunque le dijeron que la empresa estaba al tanto del problema. The Guardian asegura que verificó que la puerta trasera todavía existe.
Actualización
Resulta que Frederic Jacobs, quien es responsable del desarrollo en la aplicación de Whatsapp para iOS ha salido a dar la cara por la empresa en Twitter, descalificando el artículo de The Guardian. Jacobs asegura que el protocolo de cifrado Signal, desarrollado por Open Whisper Systems, requiere que las claves de cifrado sean verificadas en todo momento. De esta manera, desmiente que exista un fallo de seguridad.
Resulta que Frederic Jacobs, quien es responsable del desarrollo en la aplicación de Whatsapp para iOS ha salido a dar la cara por la empresa en Twitter, descalificando el artículo de The Guardian. Jacobs asegura que el protocolo de cifrado Signal, desarrollado por Open Whisper Systems, requiere que las claves de cifrado sean verificadas en todo momento. De esta manera, desmiente que exista un fallo de seguridad.
It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.— Frederic Jacobs (@FredericJacobs) 13 de enero de 2017
Aprovechar la renegociación de claves para tratar de interceptar una conversación es demasiado complejo, por lo que no hay mucho de que preocuparse, salvo tomar las medidas pertinentes y obvias como no compartir datos sensibles en tus conversaciones.
Fuente: LuisGyG
Comparte tu opinión