La pandemia global de coronavirus COVID-19 generó un crecimiento exponencial del uso de dispositivos tecnológicos a raíz de la necesidad de las personas de mantenerse comunicadas de la mejor forma posible con el trabajo, familiares, y amigos durante las medidas de aislamiento y distanciamiento social impuestas por las autoridades.

En ese contexto, WhatsApp, la aplicación de mensajería más utilizada del planeta, se convirtió en una herramienta imprescindible para miles de millones de personas.

Sin embargo, detrás de la aplicación, propiedad de Facebook, surgió un descubrimiento impensado, aunque muchas veces presupuesto por miles de personas.

Un usuario de la red social Reddit descubrió un fallo intencionado en WhatsApp mediante el cual “se facilitaría una puerta trasera a actores poderosos” como organismos gubernamentales o fuerzas de seguridad para acceder a las conversaciones cifradas, las cuales se alojan en un servidor en la nube.


Mirá también

Cómo funciona el nuevo modelo de códigos QR de Visa y qué cambia ahora al momento de pagar.

El descubrimiento, a cargo del usuario crawl_dht, deja en claro el “fallo” intencionado en WhatsApp, que permitiría que gobiernos o fuerzas del orden puedan acceder a las conversaciones almacenadas en la nube.

En definitiva, no se trata de la primera ocasión en que se sospecha que la firma de Mark Zuckerberg crea una serie de fallos de seguridad “intencionados” para dejar contentas a las fuerzas de seguridad de los diferentes gobiernos.

Estas puertas “extra” ayudarían a entes poderosos para acceder a las conversaciones, aún sin tener el consentimiento de los miles de millones de usuarios.

El descubrimiento

El fallo intencionado hallado se refiere a que todas las conversaciones cifradas se suben a la nube, sean provenientes desde Google Drive, en Android, o bien a partir de iCloud, en iOS.

Si bien todas estas conversaciones se suben cifradas, el problema es que no quedan almacenadas en cada uno de los dispositivos, sino en la propia nube de Apple o Google, curiosamente empresas norteamericanas.

Todas estas conversaciones almacenadas se encuentran cifradas mediante clave de tipo AES-GCM-256 que, si bien es bastante fuerte, ya no sería responsabilidad del usuario al estar ubicadas en servidores externos.

Esto permitiría que distintos gobiernos o fuerzas de seguridad, con herramientas propias, pudieran descifrar todas estas claves y hacerse con cada una de las conversaciones.

Más detalles

Cuando un cliente registra un nuevo smartphone o dispositivo, lo que hace la aplicación es recoger dicha clave almacenada en el servidor y usarla para descifrar la copia de seguridad. Así habilita la aplicación en el nuevo dispositivo.

Todas esas claves, incluidas las antiguas, se siguen almacenando en los servidores, más allá del olvido del usuario. Pero al alcance y cerca de otros actores.

En Signal, en cambio, otra aplicación popular en lo que respecta a seguridad, si bien usa igualmente el cifrado AES-GCM-256, el propio usuario es el que se queda con la contraseña de acceso.

Hasta el momento, WhatsApp no se pronunció de forma oficial respecto a los alcances y la polémica generada a partir de este descubrimiento.



Source link