Información | ||
Derechos | Equipo Nizkor
|
09abr16
El cifrado de Whatsapp es vulnerable a través de equipo en uso
Whatsapp anunciaba el pasado martes que activaba el cifrado de extremo a extremo en sus mensajes, asegurando que pasaban directamente de punto a punto (de emisor a receptor). Además, también explicaban que no se almacenaba ningún tipo de información en los servidores y que ninguna persona tenía forma de acceder a ellos. Sin embargo, un hacker puede acceder a cualquier conversación con sus procedimientos habituales: infectando el teléfono de su víctima con un troyano, según ha comprobado el perito informático Carlos Aldama, que ha estado en contacto con EL MUNDO con intención de analizar y aclarar el funcionamiento del nuevo cifrado.
Lo más llamativo que Aldama ha podido comprobar, es que los mensajes sólo están cifrados cuando viajan hacia el receptor. Es decir, que en el propio terminal, tanto del emisor como de la persona a la que ha enviado el mensaje, todo se puede leer perfectamente si se accede remotamente (pirateando el terminal) a los archivos que almacenan las conversaciones, con lo cual, no estamos realmente protegidos de terceros.
Entonces, ¿de qué nos protege el cifrado de Whatsapp?. Nuestras conversaciones sólo están protegidas de los accesos o pirateos directos, los que se hacen mediante los canales de datos, ya sea vía WiFi, 3G o 4G, que son los más fáciles de realizar.
En los servidores, Whatsapp deja datos públicos
Además, hay otro punto que había quedado en el aire desde un primer momento y que Aldama ha querido puntualizar: cuando la información viaja de emisor a receptor, pasa por los servidores, dejando almacenados en ellos datos públicos que son accesibles a todo el mundo.
¿Por qué ocurre esto? El caso es que existen dos tipos de protocolo de extremo a extremo, uno que sí es propiamente de emisor a receptor, como el de Telegram, y otro que tiene un intermediario: el servidor, como el de Whatsapp.
El procedimiento es complicado pero se puede explicar de forma sencilla: cuando yo me registro en Whatsapp, genero unas claves públicas que me identifican. Además, tengo una clave privada que es a la vez mi clave de cifrado y mi llave para leer mensajes cifrados. Tu tienes lo mismo. Así, si yo te envío un mensaje, lo hago con mi clave privada (mi cifrado) y con tu clave pública (tu identidad). Esto garantiza que sólo tú puedas usar tu llave privada para abrir mi mensaje. Pongamos un ejemplo básico que podría entender cualquiera: tu eres el único que tiene una llave con forma de manzana, y eso lo sabe todo el mundo, pero nadie puede robarte tu llave. Así que cuando yo envío mi mensaje con un candado en forma de manzana, sólo tu lo puedes abrir.
¿Y cual es el problema? Pues que las claves públicas se almacenan en el servidor. Algo que Whatsapp en un primer momento había negado. Se garantizaba que las claves ya no estarían en un servidor centralizado y gestionado por la compañía, sino en el propio terminal. Lo que ocurre, es que esto es así para las claves privadas, no para las públicas, que sí van al servidor. Así que Whatsapp tiene acceso directo a los números de teléfono de emisor y receptor y de la hora de envío de cada mensaje único.
Pero eso no es todo: hay un momento en el que Whatsapp sí almacena la conversación cifrada en su servidor: cuando el receptor tiene el teléfono apagado. Hasta que lo enciende, el servidor no lo entrega, lo retiene mientras tanto. Aunque el mensaje no es vulnerable en ese momento porque sigue estando encriptado, Carlos asegura que este punto es importante porque demuestra que sí se almacena la conversación en el servidor, algo que Whatsapp negaba en un primer momento.
Los grupos podrían ser vulnerables
Si todos los miembros de un grupo están en la última versión de Whatsapp, no habría nada que decir, los mensajes enviados en ese grupo estarían cifrados de extremo a extremo y no podrían ser hackeados, como decíamos, por red de datos (sí con troyanos). Sin embargo, si alguno de los miembros no está actualizado, habría un agujero de seguridad en la conversación.
Esto es porque hay un canal que va sin cifrar. Así, aunque los demás miembros sí reciben su mensaje encriptado de punto a punto, hay uno que no, por lo que ese canal sería hackeable incluso a través de red de datos.
¿Por qué esto influye en el caso Apple?
Tal y como decíamos este martes, que Whatsapp implantase este cifrado sería una reacción directa a los casos de juicios por protección de datos en los que las tecnológicas se enfrentan a las autoridades. Hablamos, entre otros, de la polémica del iPhone del asaltante de San Bernardino y de la detención del vicepresidente de Facebook de América Latina por negarse a revelar el contenido de unos mensajes de Whatsapp relacionados con un caso de narcotráfico. En el que alegaban que no poseían ese acceso, ya que Whatsapp, aunque es propiedad de la red social de Zuckerberg, funciona de forma independiente.
Lo que ocurre, es que Whatsapp había dicho al anunciar el cifrado de punto a punto que ahora no tendría ninguna potestad sobre los mensajes, y que no podría acceder a ellos ni siquiera por orden de las autoridades. Así, al igual que el almacenamiento en los servidores, esto es una verdad a medias que confunde en la lectura. Es cierto que no pueden leer los mensajes porque se almacenan cifrados, pero pueden acceder a los datos públicos que, según Carlos Aldama, es una información que se suele pedir a menudo en procesos judiciales, ya que él mismo ha tenido que solicitarla en numerosas ocasiones.
Además, este perito informático cuenta que con orden judicial sólo le daban esta información con una frecuencia de una de cada seis veces. Sin embargo, cuando comenzó a hacerlo enviando correos directamente a Whatsapp, conseguía esos datos rápidamente: los números de teléfono que mantenían conversaciones y en qué fecha y hora. Eso le valía, por ejemplo, para demostrar que un agresor mantenía contacto con la víctima.
Así, Whatsapp podría seguir siendo llamado a colaborar en procesos judiciales cuando fuese por la necesidad de esos datos públicos, a pesar de que la compañía ha dejado caer en sus comunicados que ya no podría entregar información a petición de las autoridades.
[Fuente: Por Eva Mosquera Rodríguez, El Mundo, Madrid, 09abr16]
Privacy and counterintelligence
This document has been published on 11Apr16 by the Equipo Nizkor and Derechos Human Rights. In accordance with Title 17 U.S.C. Section 107, this material is distributed without profit to those who have expressed a prior interest in receiving the included information for research and educational purposes. |