Miércoles, Octubre 28, 2020

Tus chats de WhatsApp no son seguros: un nuevo «fallo» permite espiarlos

whatsapp-clave-cifrado-nube

WhatsApp, como todas las aplicaciones de mensajería actuales, utiliza sistemas de cifrado para evitar que cualquier persona pueda espiar tus chats de WhatsApp. Sin embargo, la propia WhatsApp utiliza una puerta trasera para permitir a las autoridades espiar tu historial de mensajes, y un usuario ha descubierto cómo funciona.

Actualmente, todos los mensajes que enviamos por WhatsApp están cifrados de extremo a extremo. La app utiliza el protocolo de cifrado de extremo a extremo de Signal, donde sólo el emisor y el receptor pueden ver el mensaje y su contenido. Sin embargo, ha habido varias vulnerabilidades a nivel local en la app que han permitido acceder a los mensajes y contenido multimedia dentro del propio móvil, y también hay otra forma de acceder: las copias de seguridad.

Las copias de seguridad en la nube no cifran los mensajes

WhatsApp guarda las copias de seguridad en móviles almacenándolas en la nube. En iOS las copias se guardan en iCloud, mientras que en Android se guardan en Google Drive. Estas copias de seguridad no están protegidas por el cifrado de extremo a extremo, y tampoco utilizan un cifrado conveniente.

Esto permite a las autoridades poder acceder a tu historial de mensajes. Si un juez ordena a Google a ofrecer los archivos de la copia de seguridad, todos tu historial de chat quedará en manos de las autoridades porque los mensajes están en texto plano. WhatsApp lleva un tiempo trabajando en una función que permitirá poner una contraseña a este historial de chats, pero de momento éstos siguen sin protección.

El funcionamiento de este método de descifrado ha sido descubierto por un usuario, en el cual se puede ver claramente que el sistema funciona como una especie de puerta trasera para contentar a agencias de vigilancia como el FBI para que puedan acceder a los historiales de chat.

Sería tan fácil como generar una contraseña sólo en manos del usuario

La clave AES-GCM-256 de los chats se genera y almacena en los servidores de WhatsApp y es enviada al cliente. Cuando el usuario se registra en un nuevo dispositivo, WhatsApp coge la clave del servidor y la usa para descifrar la copia de seguridad. La misma clave pasa a ser usada otra vez para cifrar los chats del móvil. La clave puede cambiar pasado un tiempo, donde si el usuario no quiere restaurar la copia de seguridad, el servidor genera una nueva. Si eliminas la clave, se genera una nueva.

Sin embargo, las claves antiguas, en lugar de eliminarse por parte de WhatsApp, se mantienen almacenadas en sus servidores por si quieres descifrar chats antiguos.

A pesar de usar el mismo protocolo de cifrado que Signal, esta app cifra las copias de seguridad con una clave AES-CTR-256 derivada de una contraseña generada con 250.000 rondas de SHA-512. Aquí esta contraseña sólo es conocida por el usuario, de manera que nadie excepto él puede descifrar la contraseña. Además, los chats de Signal sólo se almacenan en el móvil de manera local, por lo que nadie puede acceder a ellos a través de Internet.

Esta ligera diferencia muestra cómo WhatsApp ha encontrado un pequeño vacío legal para que puedan espiar nuestros chats si las autoridades lo desean. Por ello, es recomendable optar por otras alternativas a WhatsApp como la propia Signal o Telegram, que no han tenido ni un solo escándalo en cuanto a privacidad o filtraciones de datos, donde WhatsApp ha tenido ya varios. Hasta que WhatsApp no ponga contraseña para las copias de seguridad, seguiremos «vendidos».

 

Fuente: Reddit | adslzone

¿Quién está en línea?

Hay 175 invitados y ningún miembro en línea

Contador de Visitas

12859597
Hoy Hoy 39
Ayer Ayer 882
Esta semana Esta semana 1759
Este mes Este mes 20731
Total de Visitas Total de Visitas 12859597

Día con más
visitantes

08-11-2020 : 1132

Gracias por su visita