Seguridad

El fallo aposta de WhatsApp con el que la policía o el Gobierno pueden acceder a tus datos

El fallo aposta de WhatsApp con el que la policía o el Gobierno pueden acceder a tus datos

Se ha descubierto un fallo intencionado en WhatsApp mediante el cual se podría facilitar una puerta trasera a actores poderosos como organismos gubernamentales o fuerzas de seguridad para acceder a nuestras conversaciones cifradas en un servidor en la nube.

A pesar del avance que ha existido relativo a la seguridad de nuestras conversaciones en Internet, gracias sobre todo al estreno de la funcionalidad de cifrado extremo a extremo, las cosas serían distintas cuando gobiernos o fuerzas de seguridad quieran acceder a nuestros chats privados. Precisamente WhatsApp no es el mayor ejemplo de seguridad, y más tras descubrirse un curioso fallo intencionado.

Así será la prometedora función multidispositivo de WhatsApp: hasta 4 terminales a la vez

El usuario de reddit crawl_dht ha descubierto un fallo intencionado en WhatsApp, que permitiría que gobiernos o fuerzas del orden puedan acceder a nuestras conversaciones almacenadas en la nube. No sería la primera vez que se sospecha que WhatsApp crea una serie de fallos de seguridad intencionados para contentar a los gobiernos, una especie de “puertas traseras” que ayudarían a entes poderosos a acceder a nuestras conversaciones sin nuestro consentimiento.

El fallo deriva de que todas las conversaciones cifradas se suben a la nube, sea Google Drive en Android o bien a iCloud en iOS. Si bien todas estas conversaciones se suben cifradas, el problema es que no quedan almacenadas en nuestro dispositivo, sino en la propia nube de Apple o Google, curiosamente empresas norteamericanas. Todas estas conversaciones almacenadas están cifradas mediante clave de tipo AES-GCM-256 que si bien es bastante fuerte, ya no sería responsabilidad del usuario al estar en servidores externos.

Esto haría que los distintos gobiernos o fuerzas de seguridad, con herramientas propias, puedan descifrar todas estas claves y hacerse con nuestras conversaciones.

Cuando el cliente registra un nuevo teléfono, lo que hace la aplicación es recoger dicha clave almacenada en el servidor y usarla para descifrar la copia de seguridad y así habilitar la aplicación en nuestro nuevo dispositivo. Todas estas claves, incluidas las antiguas, se siguen almacenando en los servidores al olvido del usuario, pero al alcance de otros actores.

A diferencia de Signal, otra aplicación popular en lo que respecta a seguridad, si bien usa igualmente el cifrado AES-GCM-256, aquí es el propio usuario el que se queda con la contraseña de acceso. Veremos si finalmente WhatsApp se pronuncia al respecto del descubrimiento.

Según la compañía todas sus llamadas y mensajes están protegidos con cifrado de extremo a extremo, y quedan guardados en el dispositivo, siendo el usuario el que por voluntad propia decide subir una copia de seguridad a la nube, donde WhatsApp no es responsable de la seguridad de esas copias.

[Vía: reddit]

*Artículo original publicado en Computerhoy.com

Te recomendamos

Sobre el autor

David Hernández

Periodista, comunicador y escritor. La tecnología es mi pasión y mi perdición. Redactor de Computerhoy.com y TicBeat.com, firmo también en publicaciones de videojuegos e igualmente me atrevo con los libros. Eso sí, todo junto pero no agitado.