Cabecera-v2-web.jpg

¿Qué hay de cierto de la vulnerabilidad en el cifrado de WhatsApp?


Dí­as atrás, el periódico inglés 'The Guardian' publicaba un artí­culo acerca de lo que parecí­a podí­a ser un fallo de seguridad en el cifrado de los mensajes de WhatsApp, que permitirí­a que Facebook o atacantes externos pudieran acceder a mensajes privados.

La encriptación punto a punto de Whatsapp se basa en la generación de unos códigos únicos por cada chat, utilizando el protocolo Signal el cual es desarrollado por Open Whisper Systems. Estos códigos pueden ser verificado por los usuarios para garantizar que los mensajes se enviaron de forma encriptada y que no pueden ser interceptados por nadie.

Sin embargo, WhatsApp tiene la posibilidad de forzar la generación de códigos nuevos para usuarios que se encuentran offline, la re-encriptación de los mensajes que no fueron recibidos utilizando este nuevo código y el reenví­o al destinatario. Si un atacante pudiera impersonificar el número del destinatario (que debe estar offline, por ejemplo, si desinstaló la aplicación), ya sea explotando una red GSM vulnerable, o comprometiendo los servidores de WhatsApp, en este caso, WhatsApp utilizarí­a el código del atacante para re-encriptar y reenviar los mensajes no entregados al atacante, sin que el destinatario lo sepa. El remitente sólo lo notará si es que ha activado las notificaciones de seguridad.

WhatsApp ha aclarado que no se trata de una vulnerabilidad ni una puerta trasera, sino que se trata de una decisión de diseño, en la que se optó incluir la funcionalidad de re-encriptación y reenví­o automático de mensajes para evitar que se pierdan los mensajes en tránsito. De lo contrario, si una persona cambia de dispositivo y/o reinstala la aplicación, no podrá recibir los mensajes que le hubieran enviado en ese lapso de tiempo, los cuales se perderí­an.

Si bien, no se trata de una vulnerabilidad de los algoritmos de encriptación, podrí­a ser considerado un problema de diseño, donde se ha optado asumir un riesgo adicional en pos de la funcionalidad y simplicidad. Para minimizar este riesgo, WhatsApp permite a los usuarios verificar los códigos de seguridad, para asegurar que los mismos coincidan, lo que significa que la conversación está cifrada. Normalmente, esta verificación se puede hacer escaneando el código QR del destinatario o comparando visualmente el código, que tiene 60 dí­gitos, sin embargo, como esto muchas veces no es muy práctico, no lo hacemos con frecuencia.

Es por eso que WhatsApp cuenta con la funcionalidad de notificaciones de seguridad, que alertarán al usuario que el código de seguridad del chat no coincide, y que por ende, no se puede asegurar que la conversación sea privada. Por defecto, las notificaciones están desactivada, pero podemos activarlas fácilmente, siguiendo los siguientes pasos:

  • Abrir la aplicación de WhatsApp en tu dispositivo
  • Ir a 'Ajustes' > 'Cuenta' > 'Seguridad'
  • Activar la opción que dice 'Mostrar las notificaciones de seguridad'


58.jpg

De este modo, recibirás notificaciones cuando el código de seguridad de un contacto haya cambiado. En este caso, si nos aparece una alerta de seguridad que indica que el código ha cambiado, debemos chequear si el destinatario efectivamente ha cambiado de dispositivo y/o ha reinstalado la aplicación, antes de enviarle mensajes por WhatsApp, de lo contrario, sabremos que algo ha ocurrido y no lo enviamos, hasta tanto hayamos asegurado que los códigos coinciden.


whatsapp_security_code_has_changed.jpg




pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11