Expertos en seguridad IT matizan la efectividad del cifrado de WhatsApp
El nuevo cifrado que ha implementado WhatsApp tiene su parte positiva y otra que hay que matizar, como explican expertos en seguridad IT. ¿Es un sistema perfecto? ¿ya estamos 100 por 100 protegidos? ¿Se trata en realidad de cifrado extremo a extremo? He aquí la contestación a estas y otras preguntas.
En estos días, WhatsApp nos ha sorprendido a todos con un pequeño mensaje que aparece en cada conversación que tengamos, en la que nos afirma “Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado de extremo a extremo. Toca para más información”. Posiblemente, muchos usuarios ni lo han leído y otros, quizá, no saben a qué hace referencia. Pues bien, es lo que parece, WhatsApp ha introducido un sistema de cifrado que tiene por objetivo, incrementar la seguridad de nuestras conversaciones. Ahora bien, ¿ya estamos 100% protegidos?
De acuerdo con Carlos Aldama, perito informático y director de Aldama Informática Legal, a priori, este parece un sistema de seguridad ideal, ya que adelanta al resto de programas de mensajería. Por un lado, ayuda a evitar el principal problema que tienen los usuarios que, para enviar mensajes, se conectan a redes WiFi públicas y ponen en riesgo sus datos sin cifrar. Asimismo, otorga una clara ventaja, ya que si alguien trata de romper el cifrado, solo lo conseguiría para un mensaje concreto, y no para toda la conversación, aspectos que mejoran significativamente la protección.
¿Es un sistema perfecto? Cabe destacar que tiene ciertas lagunas que hacen que no sea tan robusto como parece. En primer lugar, asegura que es un cifrado directo entre dos terminales, lo cual no siempre es cierto: si el destinatario no tiene el móvil encendido, el mensaje se guarda en el servidor de WhatsApp. De igual forma, se comprueban claves públicas y privadas, pero como en el caso anterior, pasan por un tercero.
Sorprende además ver cómo pese a la repercusión de la activación de seguridad punto a punto, WhatsApp deshabilita por defecto la opción de “Mostrar notificaciones de seguridad”, es decir si sufrimos una suplantación, el sistema no nos avisaría.
Otro factor fundamental, como afirma Aldama, es que se protege el envío, no el mensaje. “La base de datos del móvil sigue siendo la misma y se puede acceder a través del terminal. Lo que se ha implantado sirve para ir en contra de los que se ‘cuelan’ en el momento que estamos transmitiendo la comunicación”.
Por último, es importante tener en cuenta que WhatsApp todavía no hace borrados seguros como Telegram y que no se cifra en sus servidores. Con esto, ¿podemos decir que ahora wasapear ofrece un mayor anonimato?, lo cierto es que no. El teléfono, receptor, destinatario (o destinatarios en los grupos), el día y hora, van a seguir almacenados en los servidores.
Recuerda que WhatsApp puede ser manipulado, pero la labor del perito informático es precisamente la de comprobarlo y poder certificar la autenticidad o no de estos mensajes al usarlos como pruebas judiciales o seguir el rastro que deja el delito para investigar un crimen digital.
Por su parte, Pablo Teijeira, Director General de Sophos Iberia comenta al respecto:
¿Por qué es importante que WhatsApp active el cifrado de extremo a extremo?
Cuando te comunicas con otra persona en Internet, es fácil imaginarse que el mensaje viaja como una llamada de teléfono. Y al igual que las llamadas de teléfono, son comunicaciones de “extremo a extremo” y pueden ser espiadas y. El sonido viaja desde el micrófono de tu dispositivo a través de una serie de circuitos eléctricos, hasta el dispositivo del receptor que reproduce el sonido que tú has emitido. Si el receptor no estaba ahí, la llamada no se guarda para más tarde, simplemente no ocurre.
Cuando añades el cifrado a una comunicación de este tipo, lo más sencillo es hacerlo de “extremo a extremo”, es decir, se mezcla la señal en nuestro teléfono de manera que alguien que intercepte la señal en tránsito solo oiga ruido, y cuando llega al teléfono del receptor, este la descodificará reproduciendo nuestra voz como si nada hubiera pasado.
Pero las comunicaciones en Internet, como correo electrónico o mensajes instantáneos, casi nunca están cifradas.
En realidad no se trata de cifrado “extremo a extremo”
Cuando envío un correo o un mensaje instantáneo, realmente no es una comunicación de “extremo a extremo”, ya que (en el sentido más estricto) probablemente no estoy enviando el mensaje directamente a la otra persona.
Hablando en términos generales, cuando envío un correo o un mensaje instantáneo, me conecto a un servidor donde dejo el mensaje que queda ahí hasta que mi destinatario se conecta y lo descarga.
Puede ocurrir que lo haga instantáneamente, pero mi dispositivo no tiene una conexión con el dispositivo del destinatario que transmita información directamente desde mi tarjeta de red a la suya.
Y cuando nos referimos a un servidor, puede que también nos refiramos a un servicio que consiste en una gran cantidad de granjas de servidores, en docenas de países que pueden gestionar eficazmente billones de mensajes enviados por cientos de millones de usuarios.
Y eso es lo que ocurre con WhatsApp. Resumiendo, el mensaje se cifrará y descifrará en múltiples ocasiones mientras viaja por su red de servidores hasta que sea descargado por el receptor.
¿Es importante el cifrado?
Si, importa. Mucha gente cree que no, basándose en que no tienen nada que ocultar, o por decirlo de otra manera, que no hacen nada ilegal.
Sin embargo, el problema es que quien nos va a espiar no va a ser un juez en busca de delitos, lo normal es que sean ciberdelincuentes a los que les interesa todo lo que hagas, para poder atacarte y hacerse con tu dinero.
Por eso estamos muy contentos con la noticia de que WhatsApp ha implementado un sistema de cifrado. Esta empresa no tiene una gran reputación en cuanto a su preocupación por la seguridad de sus usuarios, pero parece que desde que hace dos años la comprara Facebook, se empiezan a tomar las cosas más en serio.
¿Qué ha hecho WhatsApp?
No vamos a explicar los detalles criptográficos, para eso WhatsApp ha publicado un útil artículo en el que detallan todos los pormenores. Resumiendo, estos son:
- El servicio ni genera ni almacena tus claves de cifrado.
- Usa una nueva clave pública de cifrado para cada mensaje.
- El servido da una huella digital a cada mensaje.
Las consecuencias de estas medidas son:
- WhatsApp no puede descifrar tus mensajes en tránsito.
- WhatsApp no tiene ninguna información criptográfica sobre ti.
- Un espía que consiga descifrar un mensaje, no tendrá la clave para leer todos los siguientes.
En Sophos creen firmemente que la encriptación es una herramienta clave para garantizar la seguridad y privacidad de las comunicaciones. Por ello, están encantados con este nuevo paso que ha dado WhatsApp.