Una vulnerabilidad de seguridad que puede utilizarse para permitir que Facebook y otras personas intercepten y lean mensajes cifrados se ha encontrado dentro de su servicio de mensajería WhatsApp.
Facebook afirma que nadie puede interceptar los mensajes de WhatsApp, ni siquiera la compañía y su personal, asegurando la privacidad de sus más de mil millones de usuarios. However, una nueva investigación muestra que la empresa podría de hecho leer los mensajes debido a la forma en que WhatsApp ha implementado su protocolo de cifrado de extremo a extremo.
“Los activistas a favor de la privacidad critican la vulnerabilidad de WhatsApp como una ‘gran amenaza a la libertad de expresión’ and they warn that it could be exploited by government agencies”
WhatsApp has made privacy and security a primary selling point, and it has become a communication tool for activists, dissidents and diplomats.
WhatsApp's end-to-end encryption is based on the generation of unique security keys, using the acclaimed Signal protocol, developed by Open Whisper Systems, which is shared and verified between users to ensure communications are secure and cannot be intercepted by a third party.
However, WhatsApp has the ability to force the generation of new encryption keys for offline users, para hacer que el remitente cifre los mensajes con nuevas claves y volver a enviar estas claves para los mensajes que no han sido marcados como entregados.
El destinatario no tiene conocimiento de este cambio en el cifrado, mientras que el remitente sólo se notifica si se han activado las advertencias de cifrado en la configuración y sólo después de que los mensajes se hayan reenviado. Este recifrado y retransmisión permite a WhatsApp interceptar y leer los mensajes de los usuarios.
El fallo de seguridad fue descubierto por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California en Berkeley. Le dijo al periódico The Guardian: “Si un organismo gubernamental le pide a WhatsApp que revele sus registros de mensajería, puede conceder acceso debido al cambio de claves”.
Boelter informó de la vulnerabilidad a Facebook en abril de 2016, pero se le dijo que Facebook era consciente del problema, que era un “comportamiento esperado” y que no se estaba trabajando activamente en solucionarlo. The Guardian ha verificado que aún existe el fallo de seguridad. El Dr. Steffen Tor Jensen, jefe de seguridad de la información y contra-vigilancia digital de la Organización Europea-Bahreiní de Derechos Humanos, verificó las conclusiones de Boelter. “WhatsApp puede continuar activando las claves de seguridad cuando los dispositivos están fuera de línea y reenviar el mensaje, sin dejar que los usuarios sepan del cambio hasta después de que se haya hecho, proporcionando una plataforma extremadamente insegura”.
La vulnerabilidad pone en tela de juicio la privacidad de los mensajes enviados a través del servicio, que se utiliza en todo el mundo, incluso por personas que viven en regímenes opresivos.
La profesora Kirstie Ball, codirectora y fundadora del Centro de Investigación en Información, Vigilancia y Privacidad, calificó la existencia de una vulnerabilidad dentro del cifrado de WhatsApp como “una mina de oro para agencias de seguridad” and “una enorme traición a la confianza del usuario”. Ella agregó: “Es una gran amenaza para la libertad de expresión, para poder mirar lo que estás diciendo si lo desea. Los consumidores dirán, no tengo nada que ocultar, pero no sabes qué información se busca y qué conexiones se están haciendo”.
En el Reino Unido, la recién aprobada Ley de Poderes de Investigación permite al gobierno interceptar datos a granel de usuarios en poder de empresas privadas, sin sospecha de actividad criminal, similar a la actividad de la Agencia de Seguridad Nacional descubierta por las revelaciones de Snowden.
WhatsApp publicó más adelante otra declaración que decía: “WhatsApp no da a gobiernos una ‘puerta trasera’ en sus sistemas y rehusarían cualquier petición del gobierno de crear una puerta trasera”.
In August 2015, Facebook anunció un cambio en la política de privacidad que rige WhatsApp, que permitió a la red social combinar los datos de los usuarios de WhatsApp y Facebook, Incluidos los números de teléfono y el uso de la aplicación, con fines publicitarios y de desarrollo.
Facebook detuvo el uso de los datos de usuarios compartidos con fines publicitarios en noviembre, después de la presión del grupo de trabajo de la agencia de protección de datos paneuropea en octubre. La comisión europea presentó cargos contra Facebook por proporcionar información “engañosa” en el período previo a la adquisición de la red social del servicio de mensajería WhatsApp, tras su cambio en el intercambio de datos.
Fountain: The Guardian