Nueva falla de seguridad en WhatsApp crispa a sus usuarios
A mediados del año 2016, una jueza en Brasil bloqueó el acceso al servicio de mensajería instantánea que provee WhatsApp, que por ese entonces ya había sido adquirida por Mark Zuckerberg, dueño de Facebook. La razón habría sido que ante la posibilidad de que conversaciones de WhatsApp pudieran servir como evidencia sustancial para un caso importante, y la consiguiente petición de acceso a esas conversaciones por parte de la jueza, Facebook se habría negado a proveer dichas conversaciones aduciendo que ellos no tienen acceso a la desencriptación de las conversaciones que intercambian los usuarios, ni mucho menos guardan esas conversaciones.
Bueno, pues pareciera ser que todo lo contrario. Tobias Boelter, un investigador en los campos de la seguridad y la criptografía de la Universidad de California, descubrió que WhatsApp tiene la posibilidad de cambiar la clave de encriptación cuando el usuario se encuentra desconectado. De esta forma, cualquier mensaje que no se haya enviado (la segunda tilde da cuenta de la llegada de ese mensaje) antes del cambio de clave de encriptación, será en su lugar enviado con la nueva clave, lo que le permitiría a WhatsApp interceptar y leer los mensajes enviados por sus usuarios sin que los receptores sepan nada al respecto.
Según reveló este investigador, el emisor del mensaje únicamente es notificado al respecto de este cambio en la clave de encriptación si tiene activada en su configuración la opción de notificación en casos de cambios en la seguridad de la aplicación, pero sólo una vez que el mensaje sea reenviado.
El sistema de seguridad de WhatsApp está diseñado por la empresa Open Whisper Systems, que desarrolló el protocolo Signal que comparten su aplicación homónima y WhatsApp. Pero Signal no brinda esta posibilidad de reconfiguración de la clave de encriptación, entonces, ¿de dónde salió? Cuando Boelter notificó a las autoridades de Facebook la falla de seguridad de su recientemente adquirida aplicación estrella, Facebook contestó que era "comportamiento esperado".
En respuesta a una noticia que publicó el diario The Guardian, WhatsApp dice que, a diferencia de lo que dice el diario, no es cierto que WhatsApp ha diseñado esta falla en la codificación de sus mensajes con intención de darles acceso a los gobiernos a su base de datos. WhatsApp dice que jamás accederían a ceder información de sus servidores. Justifican la existencia de esta medida alegando que su intención es proteger todos esos mensajes y que el cambio de encriptación le permite a los servidores de WhatsApp almacenar toda esta información sin poderse acceder a ella de forma legible, por lo que todo sería seguro.
No obstante, The Guardian no dijo que la existencia de esta falla significara un trabajo en connivencia con los gobiernos de Estados Unidos y el Reino Unido (Estados en los cuales es totalmente legal acceder a información privada de sus habitantes sin siquiera requerir sospecha criminal para hacerlo) para violar la privacidad de sus usuarios, sino que el hecho de que WhatsApp almacene toda esta información le permite a esos gobiernos demandar el acceso a esa información con una orden judicial sin que WhatsApp pueda resistirse. WhatsApp, al respecto de este asunto, no ha dado declaraciones.
Cualquier usuario preocupado por la seguridad y privacidad del contenido que comparte a través de WhatsApp bien haría en cambiarse a Signal, pues no parece haber garantías para la compañía perteneciente a Facebook.