El cifrado de extremo a extremo de WhatsApp está incompleto, no se puede confiar completamente, según el alemán Heise Security después del análisis del popular cliente de chat. WhatsApp para iPhone no es compatible con el cifrado de extremo a extremo y todo el proceso de cifrado es insuficientemente transparente.
WhatsApp ha activado el cifrado de extremo a extremo en las versiones de Android de su popular cliente de chat desde noviembre del año pasado. Lamentablemente, el usuario no tiene ninguna garantía de que los mensajes enviados estén realmente encriptados, según Heise Security. Han investigado el tráfico de Internet que WhatsApp genera con herramientas como Wireshark y Yowsup
Al probar una configuración clásica de hombre en el medio, se descubrió que los mensajes entre dos clientes de Android en realidad están encriptados de extremo a extremo utilizando el llamado protocolo TextSecure. Tan pronto como se envió un mensaje a un cliente iOS, TextSecure ya no se usó. Esto se debe a que WhatsApp para iPhone no admite esta forma de cifrado. Por lo tanto, fue bastante fácil interceptar mensajes y descifrarlos.
- Si un país lanza un 'ataque cibernético' en los EE. UU. O Japón, ¿por qué no simplemente los desconectan de la red troncal?
- ¿Estados Unidos alguna vez firmará criptográficamente su moneda?
- Cómo proteger un sitio web de hackers
- El ataque WannaCry ha demostrado que ninguna red es segura. ¿Es posible que ocurra un ataque similar en las redes bancarias, dejándonos con saldos cero?
- Para los hackers, ¿crees que es posible crear un sistema operativo completamente seguro?
Cuando no es posible el cifrado de extremo a extremo entre clientes, WhatsApp utiliza una forma básica de cifrado llamada RC4. Se sabe que este algoritmo es inseguro durante algún tiempo, pero el atacante aún tiene que hacer un esfuerzo considerable para descifrar el mensaje. Por lo tanto, RC4 ofrece cierta seguridad contra el descifrado de datos a gran escala, por ejemplo, cuando escuchas a escondidas en una red troncal. Otro punto débil es que para cada mensaje se genera una clave que se basa en la contraseña del usuario.
Y debido a que WhatsApp nunca ha estado abierto sobre cómo sus servidores manejan el cifrado menos potente, esto también sigue siendo un punto débil, según Heise.
Según Heise, hay aún más problemas con la implementación actual del cifrado de extremo a extremo en WhatsApp. No está claro si esta forma de cifrado se usa siempre, incluso cuando es técnicamente posible. Existe la posibilidad de que el cifrado se pueda deshabilitar en algunos casos, por ejemplo, a pedido de servicios secretos. Es seguro que WhatsApp tiene un mecanismo que les permite desactivar el cifrado de extremo a extremo, ya que esto también ocurre cuando se envía un mensaje a un iPhone.
Debido al código de propiedad del cliente de WhatsApp, no está seguro si la clave de cifrado utilizada no puede ser obtenida por un tercero, que es otro punto débil. Finalmente, los evaluadores señalan que el cliente de WhatsApp no le permite al usuario saber si se usa el cifrado de extremo a extremo, por lo que el usuario podría pensar que está seguro, mientras que no.
El inventor del protocolo de extremo a extremo, Open Whisper System, ha respondido en Reddit sobre el artículo de Heise. Argumentan que el desarrollo del cifrado de extremo a extremo es un proceso continuo y que se mejorará gradualmente.