San Juan 8 > A un click > WhatsApp

¡Cuidado! Detectaron una falla de WhatsApp que expone tus chats privados

Mientras WhatsApp prepara el soporte para uso simultáneo en múltiples dispositivos y una función que silencia chats grupales para siempre, el nombre del mensajero vuelve a sonar en el terreno de la seguridad informática. Una vez más, descubrieron una puerta trasera en la app que deja expuestos a los chats privados.

Revelada por un usuario en la red social Reddit, la brecha fue hallada en el sistema de encriptación de WhatsApp, un mecanismo que (al menos en los papeles) protege el contenido que circula en la aplicación. En concreto, la encriptación de extremo a extremo se emplea para que la información solamente sea accesible para el emisor y el receptor, mediante el cifrado de los datos. En teoría, ni siquiera puede acceder a la información el desarrollador de la herramienta, en este caso Facebook.

Te puede interesar...

Los detalles del agujero de seguridad en WhatsApp

La falla fue encontrada un protocolo de encriptación (AES-GCM-256) que emplea WhatsApp y también otras herramientas como Zoom. Según explicó el descubridor, la puerta trasera permite acceder a copias de seguridad que se almacenan en los servidores de Drive, la plataforma en la nube de Google.

El problema reside en que las claves que permiten al emisor y receptor acceder a los datos (supuestamente a nadie más que ellos) se generan en los servidores de la aplicación y desde allí se envían a los usuarios. Esto ocurre, incluso, cuando el cifrado se restaura en forma periódica. En ese camino, las sucesivas claves de encriptación se almacenan en los servers (sí, de Facebook) para que los usuarios accedan a las copias de seguridad de conversaciones antiguas.

En ese punto aparece la mencionada puerta trasera que, vale decir, requiere contar el acceso a la cuenta de Google (que gestiona Drive) vinculada al perfil de WhatsApp. Siguiendo a Europa Press, la empresa californiana promete cifrado de extremo a extremo en los mensajes y contenido que circula en el mensajero, aunque aclara que eso no ocurre si se realiza una copia de seguridad en una plataforma en la nube.

Para eludir este problema, otros mensajeros como Signal crean estas claves en el dispositivo del usuario en vez de hacerlo en servidores de la empresa.

Temas