Nuestros compañeros de MuyComputer se hicieron eco el día de ayer de una noticia que ha generado bastante revuelo. Según la información publicada en The Guardian, el investigador en seguridad Tobias Boelter, de la Universidad de California, descubrió lo que muchos han etiquetado como un backdoor o puerta trasrea en WhatsApp, la aplicación de mensajería instantánea más usada del mundo.

Según Tobias Boelter, Facebook (propietaria de WhatsApp) ha podido utilizar dicha puerta trasera para interceptar y leer mensajes cifrados que los usuarios intercambian a través del servicio de mensajería. La compañía, por su parte, se ha defendido de las acusaciones diciendo que nadie puede interceptar los mensajes y que todo corresponde a una campaña de desprestigio. Pero el investigador insiste en su postura publicando cómo Facebook puede leer los mensajes intercambiados a través de WhatsApp, poniendo en evidencia la manera en que la compañía ha implementado el protocolo de cifrado extremo a extremo que fue incorporado en abril de 2016. Otros expertos en seguridad se han posicionado del lado de Boelter.

Cómo se utiliza la supuesta puerta trasera de WhatsApp

El cifrado extremo a extremo de WhatsApp se apoya en el aclamado protocolo de Signal, desarrollado por Whisper Systems, que es utilizado para para garantizar comunicaciones seguras y verificadas entre usuarios, las cuales no pueden ser interceptadas por personas que están en medio de los canales.

Sin embargo, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios offline de forma de que el emisor y el receptor puedan no percatarse de ello. Esto hace que el emisor vuelva a cifrar los mensajes con nuevas claves y reenvíe los que no hayan sido marcados como enviados.

El receptor nunca es consciente de este cambio en el cifrado, mientras que el emisor solo es notificado si activa la opción de avisos de cifrado en la configuración de la aplicación. Este proceso de volver a cifrar y redifundir permitiría a un tercero, en este caso Facebook, interceptar y leer los mensajes enviados entre emisor y receptor.

Es importante decir que el agujero de privacidad no es un bug del propio protocolo de Signal, ya que este notifica por defecto al emisor en caso de haber cambiado las claves mientras estaba offline. Por lo tanto, la culpa sería de Facebook por cómo lo ha implementado.

Por otro lado, Tobias Boelter comenta que el fallo permitiría a la compañía colaborar con los gobiernos que soliciten conocer las conversaciones realizadas a través de WhatsApp, ya que el popular servicio de mensajería reenvía un mensaje no enviado con una nueva clave de cifrado sin avisar al emisor por adelantado o dándole la posibilidad de evitarlo.

Boelter ya avisó a la compañía del problema porque lo detectó nada más liberarse la característica de cifrado de extremo a extremo para WhatsApp, pero Facebook de momento parece no haber tomado ninguna medida al respecto y su reacción no invita a pensar que lo vaya a hacer a corto plazo.

¿Qué argumenta Facebook para defenderse?

Como ya hemos comentado, Facebook ha salido defendiendo su servicio de mensajería y ha argumentado lo siguiente contra los descubrimientos de Tobias Boelter que han sido publicados en The Guardian.

The Guardian publicó un artículo esta mañana afirmando que una decisión intencionada en WhatsApp que evita que la gente pierda millones de mensajes es una “puerta trasera” que permite a los gobiernos obligar a WhatsApp a descifrar flujos de mensajes. Esta afirmación es falsa.

WhatsApp no le da a los gobiernos una puerta trasera en sus sistemas y lucharía contra cualquier solicitud del gobierno para crear una puerta trasera. Lo que dicen en el artículo de The Guardian es eso, una decisión intencional de diseño que impide que millones de mensajes se pierdan, y WhatsApp ofrece los usuarios notificaciones de seguridad para alertarlos de posibles riesgos. WhatsApp publicó un documento técnico sobre el diseño de su sistema de encriptación, y ha sido transparente con el tema de las solicitudes gubernamentales que recibe, publicando datos sobre esas solicitudes en el Informe de Solicitudes de Gobierno de Facebook.

En resumidas cuentas, la compañía argumenta que se trata de una característica implementada a conciencia para evitar la pérdida de mensajes y que es mentira que esté siendo usada para descifrar mensajes a petición de los gobiernos, algo para lo cual se remite a su Informe de Solicitudes de Gobierno.

Facebook, una compañía que siempre está en el ojo del huracán

Las acusaciones de malas prácticas en torno a la privacidad no son algo nuevo para Facebook, de hecho la desconfianza que genera en esta materia la ha llevado a los tribunales y recientemente tuvo que abortar sus intenciones de compartir datos entre WhatsApp y la red social después de recibir presiones de la Unión Europea.