jueves, 1 de octubre de 2020

Conversaciones de WhatsApp en la nube poco protegidas

Whatsapp conversaciones

      Actualmente Whatsapp crea copias de seguridad de las conversaciones y las guarda en la nube. En el caso de iOS las copias son guardadas en iCloud, mientras que Android las copias son guardadas en Google Drive. Las copias guardadas en la nube no están cifradas de extremo a extremo como si es el caso en las conversaciones locales, llega al punto donde ni siquiera tienen un cifrado convencional.

Esto conlleva que cualquier persona que acceda a las copias de seguridad de la nube puede leer el historial del chat sin mucho problema, ya que este estará en texto plano. Esto es una cosa que Whatsapp lleva tiempo queriendo modificar y añadir una función que permita poner una contraseña a este historial, aunque por el momento sigue sin protección.

Dicho funcionamiento a sido descubierto por un usuario, en el cual se puede ver según informa que el sistema funciona de este modo para contentar principalmente a agencias de vigilancia, para que de esta forma no tengan problemas a la hora de revisar historiales de chat.

El formato de cifrado de los chats es una clave AES-GCM-256 que se genera automáticamente y la cual está guardada en los servidores de Whatsapp. La funcionalidad que tiene esta clave para el usuario es cuando este se registra por ejemplo desde un nuevo dispositivo, entonces Whatsapp coge la clave del servidor y descifra la copia de seguridad y le entrega al usuario la copia. Esa misma clave se usará a su vez para cifrar los chats del móvil, la clave podrá cambiar pasado un tiempo, y si el usuario no decide restaura las copias de seguridad pasado un tiempo se genera una nueva clave. En caso de que el usuario elimine la clave, se generara automáticamente una nueva para el mismo.

Todas las claves antiguas que se han ido generando por parte de Whatsapp, no son eliminadas se mantienen todas almacenadas en los servidores de Whatsapp en caso de que se quiera descifrar chats antiguos.

A diferencia de otra aplicación como puede ser Signal, la cual, utilizada el mismo protocolo de cifrado, está utiliza una clave AES-CTR-256 derivada de una contraseña generada con 250.000 rondas de SHA-512 para cifrar las copias de seguridad. En el caso de Signal, la contraseña solo es conocida por el usuario, de manera que la única persona que puede descifrar la contraseña es el mismo. Además, los chats de Signal son únicamente almacenados de forma local en el dispositivo, haciendo imposible acceder a ellos a través de Internet.

La diferencia entre aplicaciones muestra como Whatsapp ha creado un pequeño vacío legal donde es posible espiar las conversaciones si las autoridades lo desean. 


No hay comentarios:

Publicar un comentario