Actualmente Whatsapp crea copias de seguridad de las
conversaciones y las guarda en la nube. En el caso de iOS las copias son guardadas
en iCloud, mientras que Android las copias son guardadas en Google Drive. Las
copias guardadas en la nube no están cifradas de extremo a extremo como si es
el caso en las conversaciones locales, llega al punto donde ni siquiera tienen
un cifrado convencional.
Esto conlleva que cualquier persona que acceda a las copias
de seguridad de la nube puede leer el historial del chat sin mucho problema, ya
que este estará en texto plano. Esto es una cosa que Whatsapp lleva tiempo queriendo
modificar y añadir una función que permita poner una contraseña a este historial,
aunque por el momento sigue sin protección.
Dicho funcionamiento a sido descubierto por un usuario, in
el cual se puede ver según informa que el sistema funciona de este modo para
contentar principalmente a agencias de vigilancia, para que de esta forma no tengan
problemas a la hora de revisar historiales de chat.
El formato de cifrado de los chats es una clave AES-GCM-256 que
se genera automáticamente y la cual está guardada en los servidores de Whatsapp.
La funcionalidad que tiene esta clave para el usuario es cuando este se
registra por ejemplo desde un nuevo dispositivo, entonces Whatsapp coge la
clave del servidor y descifra la copia de seguridad y le entrega al usuario la
copia. Esa misma clave se usará a su vez para cifrar los chats del móvil, la clave
podrá cambiar pasado un tiempo, y si el usuario no decide restaura las copias
de seguridad pasado un tiempo se genera una nueva clave. En caso de que el
usuario elimine la clave, se generara automáticamente una nueva para el mismo.
Todas las claves antiguas que se han ido generando por parte
de Whatsapp, no son eliminadas se mantienen todas almacenadas en los servidores
de Whatsapp en caso de que se quiera descifrar chats antiguos.
A diferencia de otra aplicación como puede ser Signal, which,
utilizada el mismo protocolo de cifrado, está utiliza una clave AES-CTR-256
derivada de una contraseña generada con 250.000 rondas de SHA-512 para cifrar
las copias de seguridad. En el caso de Signal, la contraseña solo es conocida
por el usuario, de manera que la única persona que puede descifrar la contraseña
es el mismo. In addition, los chats de Signal son únicamente almacenados de forma
local en el dispositivo, haciendo imposible acceder a ellos a través de
Internet.
La diferencia entre aplicaciones muestra como Whatsapp ha
creado un pequeño vacío legal donde es posible espiar las conversaciones si las
autoridades lo desean.
