WhatsApp: descubren una falla de seguridad que deja expuestos los chats privados

BUENOS AIRES - Mientras WhatsApp prepara el soporte para uso simultáneo en múltiples dispositivos y una función que silencia chats grupales para siempre, el nombre del mensajero vuelve a sonar en el terreno de la seguridad informática. Una vez más, descubrieron una puerta trasera en la app que deja expuestos a los chats privados.

Revelada por un usuario en la red social Reddit, la brecha fue hallada en el sistema de encriptación de WhatsApp, un mecanismo que (al menos en los papeles) protege el contenido que circula en la aplicación. En concreto, la encriptación de extremo a extremo se emplea para que la información solamente sea accesible para el emisor y el receptor, mediante el cifrado de los datos. En teoría, ni siquiera puede acceder a la información el desarrollador de la herramienta, en este caso Facebook.

Los detalles del agujero de seguridad en WhatsApp

La falla fue encontrada un protocolo de encriptación (AES-GCM-256) que emplea WhatsApp y también otras herramientas como Zoom. Según explicó el descubridor, la puerta trasera permite acceder a copias de seguridad que se almacenan en los servidores de Drive, la plataforma en la nube de Google.

El problema reside en que las claves que permiten al emisor y receptor acceder a los datos (supuestamente a nadie más que ellos) se generan en los servidores de la aplicación y desde allí se envían a los usuarios. Esto ocurre, incluso, cuando el cifrado se restaura en forma periódica. En ese camino, las sucesivas claves de encriptación se almacenan en los servers (sí, de Facebook) para que los usuarios accedan a las copias de seguridad de conversaciones antiguas.

En ese punto aparece la mencionada puerta trasera que, vale decir, requiere contar el acceso a la cuenta de Google (que gestiona Drive) vinculada al perfil de WhatsApp. Siguiendo a Europa Press, la empresa californiana promete cifrado de extremo a extremo en los mensajes y contenido que circula en el mensajero, aunque aclara que eso no ocurre si se realiza una copia de seguridad en una plataforma en la nube.

Para eludir este problema, otros mensajeros como Signal crean estas claves en el dispositivo del usuario en vez de hacerlo en servidores de la empresa.

Dardos a WhatsApp

Facebook tiene muchos enemigos. Para eludir referencias bélicas, es más atinado decir que hay miles de voces críticas alrededor del mundo que cuestionan las prácticas de esa red social y sus servicios asociados, como Instagram y WhatsApp.

Uno de los críticos más acérrimos de la firma estadounidense es Pável Dúrov, el fundador y CEO de la app de mensajería Telegram. “Deberías eliminar WhatsApp de tu teléfono”, dijo en una publicación divulgada a fines de 2019 luego del hallazgo de una falla de seguridad en aquella aplicación que permitía que atacantes accedan a los mensajes de las víctimas, al enviarles un simple archivo.

“Se encontró silenciosamente una nueva puerta trasera en WhatsApp. Al igual que la puerta trasera anterior y la anterior, esta nueva hizo que todos los datos de tu teléfono fueran vulnerables a los piratas informáticos y las agencias gubernamentales. Todo lo que un hacker tenía que hacer era enviarte un video, y todos tus datos estaban a su merced”, dijo Dúrov, recordando que en más de una ocasión él alertó respecto a los problemas de seguridad en el mensajero más popular del mundo.

El líder de Telegram señaló en la ocasión que Facebook intentó confundir a los usuarios al decir que no hay pruebas de que atacantes hayan aprovechado dicha vulnerabilidad, notando que la empresa no tiene la evidencia necesaria para asegurarlo.

En ese sentido, el nacido en Rusia en 1984 opinó que aquellas no son simplemente falencias de WhatsApp sino que la herramienta “se usa constantemente como un caballo de Troya para espiar fotos y mensajes” que no son de su propiedad. Según señala, Facebook es parte de programas de vigilancia mucho antes de adquirir el servicio de mensajería y, en ese sentido, sería ingenuo creer que la compañía cambiaría sus prácticas luego de la adquisición.

Creada en 2009, WhatsApp fue comprada por Facebook en 2014 tras el pago de 19.000 millones de dólares.

“Deberías tener en cuenta que una vulnerabilidad de seguridad de esta magnitud seguramente fue explotada, al igual que la puerta trasera de WhatsApp anterior se había utilizado contra activistas de derechos humanos y periodistas lo suficientemente ingenuos como para ser usuarios de WhatsApp. En septiembre se informó que los datos obtenidos como resultado de la explotación de dichas puertas traseras de WhatsApp ahora serán compartidos con otros países por agencias estadounidenses”, dijo.

Dúrov deslizó que WhatsApp inyecta vulnerabilidades críticas cada pocos meses y que Telegram no ha tenido ningún problema de la misma gravedad desde que se lanzó hace seis años. “Independientemente de las intenciones subyacentes de la empresa matriz de WhatsApp, el consejo para sus usuarios finales es el mismo: a menos que esté de acuerdo con que todas sus fotos y mensajes se hagan públicos algún día, debe eliminar WhatsApp de su teléfono”, concluyó.

Estos no son los primeros misiles (¡es complejo eludir las referencias bélicas!) del fundador de Telegram hacia WhatsApp. En mayo de 2019 publicó una carta en la que aseguró que “todos los problemas de seguridad (del mensajero de Facebook) son convenientemente apropiados para la vigilancia” y que “la inseguridad de la app les permite espiar a su propia gente".