Expertos en seguridad piden a The Guardian que rectifique el artículo publicado el pasado 13 de enero sobre las supuestas vulnerabilidades en WhatsApp. El artículo ha tenido una repercusión mediática importante a nivel global, con decenas de medios, incluyendo Hipertextual, haciéndose eco y reproduciendo la noticia.
Pero lo que inicialmente se creía un fallo de seguridad en realidad es una característica del sistema de cifrado que usa WhatsApp. Basado en el protocolo Signal, cada cliente (cada persona usando la app) tiene una llave pública y privada. La pública es la que se comparte a los servidores del servicio y la privada “vive” única y exclusivamente en el dispositivo de cada usuario.
Cuando una persona cambia de dispositivo, e inclusive cuando borra y reinstala WhatsApp, las llaves deben ser regeneradas ya que, por seguridad, deben ser siempre únicas, tanto para el dispositivo como para la instalación actual.
Es aquí donde podría ocurrir el fallo de seguridad, al que The Guardian se refiere. Bajo ciertas circunstancias es posible enviar un mensaje antes que la app que lo envió descubra que el receptor ha cambiado sus llaves de cifrado. Normalmente el receptor notifica al emisor de que las llaves han cambiado y pide un reenvío del mensaje con los nuevos datos de cifrado.
El sistema de seguridad de WhatsApp ha sido diseñado de tal forma que no se volverán a encriptar y reenviar mensajes. De esa forma se aseguran de que no se puedan interceptar mensajes que se haya forzado a reenviarse, aún cuando los servidores por los que circulan los mensajes hayan sido comprometidos.
The Guardian asegura que el problema viene por el hecho que WhatsApp envía el mensaje antes de comprobar si las llaves han cambiado a diferencia de Signal que usa también el protocolo Whisper, pero que no permite enviar hasta asegurarse que las llaves son válidas.
Pero esto no es un fallo, es una característica que se ajusta al tipo de personas que suelen usar la aplicación. Como explican en la carta abierta a The Guardian, este comportamiento aumenta la confiabilidad de la app ante el usuario. A lo largo de los años han aparecido miles de soluciones ultra seguras pero extremadamente complicadas de usar o poco confiables. El caso de WhatsApp mantiene un nivel de seguridad extremadamente alto, sin actores, elementos o empresas de por medio en la comunicación, pero mantiene una alta facilidad de uso.
Este es, probablemente, el mayor daño causado por el artículo de The Guardian: finalmente tenemos un sistema de comunicación seguro que permite que las masas puedan escribir o hacer llamadas de voz y video sin miedo a vigilancia de terceros.