Aberrante o no, el estado sobre la seguridad en WhatsApp y de los grupos que podamos crear en la que se sigue a continuación, ya que la polémica de la vulnerabilidad de WhatsApp y Facebook han llegado a las puertas de la UE.
Los expertos en privacidad critican la vulnerabilidad de WhatsApp como una «gran amenaza a la libertad de expresión» y advierten que podría ser explotada por agencias gubernamentales.
Una vulnerabilidad de seguridad que puede utilizarse para permitir que Facebook y otras personas intercepten y lean mensajes cifrados que hay dentro de su servicio de mensajería de WhatsApp.
Facebook afirma que nadie puede interceptar los mensajes de WhatsApp, ni siquiera la compañía y su personal, asegurando la privacidad de sus más de mil millones de usuarios. Pero una nueva investigación muestra que la compañía podría leer algunos mensajes debido a la forma en que WhatsApp ha implementado su protocolo de cifrado de extremo a extremo.
Expertos en privacidad han afirmado que la vulnerabilidad es una «gran amenaza para la libertad de expresión» y advirtió que podría ser utilizado por las agencias gubernamentales como una puerta trasera para espiar a los usuarios que creen que sus mensajes son seguros.
Algunos expertos en seguridad dicen que la vulnerabilidad es conocida y aceptada «trade-off», que tiene sentido para la mayoría de los usuarios de WhatsApp, ya que hace que la aplicación sea más fácil de usar en el día a día. Describen el riesgo para la mayoría de los usuarios como «remota» ya que la vulnerabilidad solo permite la orientación de individuos o grupos de personas en momentos específicos, en lugar de una amplia vigilancia masiva de los usuarios de WhatsApp e instar a los usuarios a no cambiar a plataformas menos seguras.
WhatsApp ha hecho de la privacidad y la seguridad un baluarte para la venta del producto, y se ha convertido en una herramienta de comunicación para activistas, disidentes y diplomáticos.
El cifrado “end-to-end” de WhatsApp se basa en la generación de claves de seguridad únicas, utilizando el aclamado protocolo Signal, desarrollado por Open Whisper Systems, que se comercializa y verifica entre los usuarios para garantizar que las comunicaciones sean seguras y no puedan ser interceptadas por un intermediario.
Sin embargo, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios offline, desconocido para el remitente y los destinatarios de los mensajes, y para hacer que el remitente cifre los mensajes con nuevas claves y enviar de nuevo para los mensajes que no tienen Han sido marcados como entregados.
El destinatario no tiene conocimiento de este cambio en el cifrado, mientras que el remitente solo se notifica si se han activado las advertencias de cifrado en la configuración y solo después de que los mensajes se han reenviado. Esta nueva codificación y retransmisión de mensajes previamente no entregados permite a WhatsApp interceptar y leer los mensajes de algunos usuarios.
El fallo de seguridad fue descubierto por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California en Berkeley: «Si un organismo gubernamental le pide a WhatsApp que revele sus registros de mensajería, puede conceder ese acceso debido al cambio de claves«.
La vulnerabilidad no es inherente al protocolo de señal. La aplicación de mensajería de Open Whisper Systems, Signal, aplicación utilizada y recomendada por Edward Snowden, no sufre la misma vulnerabilidad. Si un destinatario cambia la clave de seguridad mientras está fuera de línea, por ejemplo, un mensaje enviado no se entregará y el remitente será notificado del cambio en las claves de seguridad sin volver a enviar automáticamente el mensaje.
Boelter informó de la vulnerabilidad a Facebook en abril de 2016, pero se le dijo que Facebook era consciente del problema, que era un «comportamiento esperado» y que no se estaba trabajando activamente. Se ha podido verificar que la laguna aún existe.
Steffen Tor Jensen, jefe de seguridad de información y contra-vigilancia digital de la Organización Europea-Bahreiní de Derechos Humanos, verificó las conclusiones de Boelter. Este afirmó: «WhatsApp puede efectivamente continuar proporcionando
claves de seguridad cuando los dispositivos están fuera de línea y reenvia el mensaje, sin dejar que los usuarios sepan del cambio hasta después de que este se ha llevado a cabo, volviendo la plataforma extremadamente insegura«.
La vulnerabilidad pone en tela de juicio la privacidad de los mensajes enviados a través del servicio, que se utiliza en todo el mundo, incluso por personas que viven en regímenes opresivos.
La profesora Kirstie Ball, directora y fundadora del Centro de Investigación en Información, Vigilancia y Privacidad, calificó la existencia de una vulnerabilidad dentro del cifrado de WhatsApp como «una mina de oro para las agencias de seguridad» y «una enorme traición a la confianza del usuario«. Agregó: «Es una gran amenaza a la libertad de expresión, para quien sea capaz de mirar lo que se está diciendo si lo desea. Los consumidores pueden decir, no tengo nada que esconder, pero no sabes qué información se busca y qué conexiones se están haciendo«.
Un portavoz de WhatsApp dijo: «Más de 1.000 millones de personas utilizan WhatsApp hoy porque es simple, rápido, fiable y seguro. En WhatsApp, siempre hemos creído que las conversaciones de las personas deben ser seguras y privadas. El año pasado, dimos a todos nuestros usuarios un mejor nivel de seguridad haciendo que cada mensaje, foto, video, archivo y llamada de extremo a extremo cifrados de forma predeterminada. Al introducir características como encriptación de extremo a extremo, nos centramos en mantener un producto sencillo y tener en cuenta cómo se utiliza cada día en todo el mundo.
«En la implementación del protocolo de señal en WhatsApp, tenemos una configuración de» Mostrar notificaciones de seguridad «(opción en Configuración> Cuenta> Seguridad) que le notifica cuando el código de seguridad de un contacto ha cambiado. Sabemos que las razones más comunes por las que esto sucede son porque alguien ha cambiado de teléfono o ha reinstalado WhatsApp. Esto se debe a que, en muchas partes del mundo, la gente cambia frecuentemente dispositivos y tarjetas Sim. En estas situaciones, queremos asegurarnos de que los mensajes de las personas sean entregados, no perdidos en el tránsito «.
Cuando se le preguntó específicamente si Facebook / WhatApps había accedido a los mensajes de los usuarios y si lo había hecho a petición de agencias gubernamentales u otros terceros, dijo que entraran en su sitio en el que se detalla los datos agregados sobre las solicitudes del gobierno por país.
WhatsApp publicó más adelante otra declaración que decía: «WhatsApp no da a los gobiernos una “puerta trasera” en sus sistemas y cuestionaría cualquier petición de un gobierno de crear una puerta trasera.»
