Por definición: «puerta trasera es una característica o defecto de un sistema informático que permite el acceso no autorizado a los datos», ya sea por la puerta trasera está en el algoritmo de cifrado, un servidor o una aplicación, y no importa si se ha utilizado anteriormente o no.
El viernes se publicó un artículo sobre la base de los resultados reportados por el investigador de seguridad Tobias Boelter que sugiere WhatsApp tiene una puerta trasera que «podría permitir» que un atacante, y por supuesto la propia empresa, pueda interceptar la comunicación cifrada.
La historia que involucra a la mayor plataforma de mensajería del mundo, que cuenta con más de mil millones de usuarios en todo el mundo, se volvió viral en pocas horas, y atrae las reacciones de los expertos en seguridad, equipo de WhatsApp, y Whisper Systems, quien se asoció con Facebook para implementar el cifrado de extremo a extremo en WhatsApp .
Cual es el problema:
La vulnerabilidad depende de la forma en que WhatsApp se comporta cuando cambia la clave de cifrado de un usuario final.
WhatsApp, por defecto, apuesta por la nueva clave de cifrado difundido por un contacto y lo utiliza para volver a cifrar los mensajes no entregados y enviarlos sin informar al remitente del cambio.
Los expertos lo han argumentado:
Según algunos expertos en seguridad: «No es una puerta trasera, sino que es una característica para evitar la re-verificación innecesaria de claves de cifrado sobre la regeneración automática».
Open Whisper Systems dice: «No hay puerta trasera de WhatsApp», «es cómo funciona la criptografía», y el ataque MITM «es endémico a la criptografía de clave pública, no sólo a WhatsApp».
Un portavoz de WhatsApp, adquirida por Facebook en 2014 por 16.000 millones de dólares, dice: «La historia de The Guardian sobre una supuesta puerta trasera en WhatsApp es falsa. WhatsApp no da a los gobiernos una puerta trasera en sus sistemas. . »
¿Cuál es la realidad:
En particular, ninguno de los expertos en seguridad ni la compañía ha negado el hecho de que, si es necesario WhatsApp, a solicitud del gobierno, o los hackers patrocinados por el estado pueden interceptar sus chats.
Lo único que tienen que decir es – WhatsApp está diseñado para ser simple, y los usuarios no debe perder el acceso a los mensajes enviados a ellos cuando se cambia la clave de cifrado.
Open Whisper Systems (OWS, sus siglas en inglés) criticó a The Guardian reportando en una entrada de blog diciendo: «A pesar de que somos los creadores del protocolo de encriptación supuestamente» backdoored «de WhatsApp, no se nos pidió comentarios».
Nadie ha dicho que es una «puerta trasera de cifrado»; En su lugar, esta puerta trasera reside en la forma en que el cifrado de extremo a extremo ha sido implementado por WhatsApp, lo que finalmente permite la interceptación de mensajes sin romper el cifrado.
Como se ha mencionado esta puerta trasera no tiene nada que ver con la seguridad del protocolo de encriptación creada por Open Whisper Systems. Es uno de los protocolos de cifrado más seguros si se aplica correctamente.
Entonces ¿Por qué la señal es más segura que WhatsApp?
Es posible que uno se pregunte por qué la señal de mensajería privada es más seguro que Whatsapp, mientras que ambos utilizan el mismo protocolo de cifrado de extremo a extremo, e incluso recomendado por el mismo grupo de expertos en seguridad que están discutiendo – «WhatsApp no tiene puerta trasera.»
Es porque siempre hay margen de mejora.
La aplicación de mensajería, de forma predeterminada, permite al remitente verificar una nueva clave antes de usarla. Mientras que, WhatsApp, de forma predeterminada, confía automáticamente en la nueva clave del destinatario sin notificación al remitente.
E incluso si el remitente ha encendido las notificaciones de seguridad, la aplicación notifica al remitente del cambio sólo después de que se entregue el mensaje.
Por lo tanto, WhatsApp ha elegido esa usabilidad sobre la seguridad y la privacidad.
No se trata de si ¿Confiamos WhatsApp/Facebook?’:
WhatsApp dice que no da a los gobiernos una «puerta trasera» en sus sistemas.
Sin duda, la compañía definitivamente lucharía contra el gobierno si recibe tales órdenes judiciales y actualmente, está haciendo todo lo posible para proteger la privacidad de sus más de mil millones de usuarios.
Pero ¿qué pasa con los hackers patrocinados por el estado? Porque, técnicamente, no hay una puerta trasera «reservada» a la que sólo la compañía pueda acceder.