lunes, 16 de enero de 2017

Una vulnerabilidad en WhatsApp permite leer los mensajes cifrados

WhatsApp

     Una vulnerabilidad de seguridad que puede utilizarse para permitir que Facebook y otras personas intercepten y lean mensajes cifrados se ha encontrado dentro de su servicio de mensajería WhatsApp.


Facebook afirma que nadie puede interceptar los mensajes de WhatsApp, ni siquiera la compañía y su personal, asegurando la privacidad de sus más de mil millones de usuarios. Sin embargo, una nueva investigación muestra que la empresa podría de hecho leer los mensajes debido a la forma en que WhatsApp ha implementado su protocolo de cifrado de extremo a extremo.

"Los activistas a favor de la privacidad critican la vulnerabilidad de WhatsApp como una 'gran amenaza a la libertad de expresión' y advierten que podría ser explotada por agencias gubernamentales"

WhatsApp ha hecho de la privacidad y la seguridad un punto de venta primario, y se ha convertido en una herramienta de comunicación para activistas, disidentes y diplomáticos.

El cifrado de extremo a extremo de WhatsApp se basa en la generación de claves de seguridad únicas, utilizando el protocolo de señal aclamado, desarrollado por Open Whisper Systems, que se comercializa y verifica entre usuarios para garantizar que las comunicaciones sean seguras y no puedan ser interceptadas por un intermediario.

Sin embargo, WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios fuera de línea, para hacer que el remitente cifre los mensajes con nuevas claves y volver a enviar estas claves para los mensajes que no han sido marcados como entregados.

El destinatario no tiene conocimiento de este cambio en el cifrado, mientras que el remitente sólo se notifica si se han activado las advertencias de cifrado en la configuración y sólo después de que los mensajes se hayan reenviado. Este recifrado y retransmisión permite a WhatsApp interceptar y leer los mensajes de los usuarios.

El fallo de seguridad fue descubierto por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California en Berkeley. Le dijo al periódico The Guardian: "Si un organismo gubernamental le pide a WhatsApp que revele sus registros de mensajería, puede conceder acceso debido al cambio de claves".

Boelter informó de la vulnerabilidad a Facebook en abril de 2016, pero se le dijo que Facebook era consciente del problema, que era un "comportamiento esperado" y que no se estaba trabajando activamente en solucionarlo. The Guardian ha verificado que aún existe el fallo de seguridad. El Dr. Steffen Tor Jensen, jefe de seguridad de la información y contra-vigilancia digital de la Organización Europea-Bahreiní de Derechos Humanos, verificó las conclusiones de Boelter. "WhatsApp puede continuar activando las claves de seguridad cuando los dispositivos están fuera de línea y reenviar el mensaje, sin dejar que los usuarios sepan del cambio hasta después de que se haya hecho, proporcionando una plataforma extremadamente insegura".

La vulnerabilidad pone en tela de juicio la privacidad de los mensajes enviados a través del servicio, que se utiliza en todo el mundo, incluso por personas que viven en regímenes opresivos.

La profesora Kirstie Ball, codirectora y fundadora del Centro de Investigación en Información, Vigilancia y Privacidad, calificó la existencia de una vulnerabilidad dentro del cifrado de WhatsApp como "una mina de oro para agencias de seguridad" y "una enorme traición a la confianza del usuario". Ella agregó: "Es una gran amenaza para la libertad de expresión, para poder mirar lo que estás diciendo si lo desea. Los consumidores dirán, no tengo nada que ocultar, pero no sabes qué información se busca y qué conexiones se están haciendo".

En el Reino Unido, la recién aprobada Ley de Poderes de Investigación permite al gobierno interceptar datos a granel de usuarios en poder de empresas privadas, sin sospecha de actividad criminal, similar a la actividad de la Agencia de Seguridad Nacional descubierta por las revelaciones de Snowden.

WhatsApp publicó más adelante otra declaración que decía: "WhatsApp no ​​da a gobiernos una 'puerta trasera' en sus sistemas y rehusarían cualquier petición del gobierno de crear una puerta trasera".

En agosto de 2015, Facebook anunció un cambio en la política de privacidad que rige WhatsApp, que permitió a la red social combinar los datos de los usuarios de WhatsApp y Facebook, Incluidos los números de teléfono y el uso de la aplicación, con fines publicitarios y de desarrollo.

Facebook detuvo el uso de los datos de usuarios compartidos con fines publicitarios en noviembre, después de la presión del grupo de trabajo de la agencia de protección de datos paneuropea en octubre. La comisión europea presentó cargos contra Facebook por proporcionar información "engañosa" en el período previo a la adquisición de la red social del servicio de mensajería WhatsApp, tras su cambio en el intercambio de datos.

Fuente: The Guardian

No hay comentarios:

Publicar un comentario