The Guardian publicó un artículo esta mañana con un titular alarmante: “Una puerta trasera en WhatsApp permite husmear en los mensajes cifrados”. Si fuera cierto, tendría implicaciones enormes para la seguridad y privacidad de los más de mil millones de usuarios de WhatsApp. Afortunadamente, no hay ninguna puerta trasera en WhatsApp. Según explica a Gizmodo Alec Muffett, un experimentado investigador de seguridad, la historia del Guardian es sensacionalista a más no poder.
WhatsApp, adquirida por Facebook en 2014 por 16.000 millones de dólares, implementó el mejor estándar de mensajería cifrada a principios del año pasado, un protocolo seguro llamado Signal. Si la historia del Guardian y el titular que la acompañaba fueran verídicos, alguien habría roto lo que universalmente se considera el mejor esquema de cifrado disponible públicamente. Más de mil millones de personas que dependen del protocolo de cifrado Signal, usado en múltiples aplicaciones de mensajería muy populares, serían repentinamente vulnerables a la vigilancia gubernamental o al espionaje malicioso de sus mensajes. Varios investigadores de seguridad han reaccionado a la noticia del Guardian esta mañana, esencialmente para ridiculizarla.
Fredric Jacobs, quien fue desarrollador de iOS para Open Whisper Systems, el colectivo que diseñó y mantiene el protocolo de cifrado de Signal, y que recientemente trabajó en Apple, dijo: “es ridículo que esto se presente como una puerta trasera”.
“Caracterizo la amenaza planteada por este reportaje en la escala de miedo, incertidumbre y duda que utilizan los antivacunas”, comenta Muffett, quien trabajó anteriormente en el equipo de infraestructura de seguridad de Facebook. “No es un error, está funcionando tal y como está diseñado. Alguien nos está diciendo que es un «defecto» catastrófico cuando de hecho es uno de poca importancia”.
La supuesta “puerta trasera” que The Guardian está describiendo es en realidad una característica que funciona como se pretende, y que requeriría una colaboración intensiva con Facebook para poder fisgonear e interceptar los mensajes cifrados de alguien, algo que es muy poco probable que Facebook vaya a hacer.
“Hay una función en WhatsApp que cuando (cambias de teléfono, compras un teléfono nuevo, restableces de fábrica, lo que sea, y luego) instalas WhatsApp de cero y continúas con una conversación, hace que las claves de cifrado se vuelvan a negociar para adaptarse al nuevo teléfono”, explica Muffett a Gizmodo.
“Digamos que te envío una cosa y tu teléfono está desconectado porque se ha quedado sin batería o porque no tienes cobertura, o algo así. Algunos mensajes se quedan guardados en mi teléfono esperando para hablar con el tuyo. La proposición es que, esta condición: los mensajes guardados, combinados con alguien que colabora con Facebook/WhatsApp para “falsificar” la condición de «persona que tiene un nuevo teléfono», puede llevar a que los mensajes guardar se vuelvan a cifrar y se envíen a un nuevo teléfono fraudulento”. Básicamente, lo que el Guardian está reportando como una “puerta trasera” es en realidad una manera ya bien conocida de explotar los sistemas de mensajería cifrada que es extremadamente difícil de conseguir.
Tranquilos, usuarios de WhatsApp. No hay puerta trasera, y no hay necesidad de preocuparse por tu seguridad. O sí. Recordemos que el año pasado WhatsApp traicionó su compromiso con la privacidad cuando anunció que compartiría los datos de los usuarios con Facebook.