Para abril del año pasado, WhatsApp introdujo con bombos y platillos el cifrado punta a punta de sus comunicaciones. La noticia no era un asunto de poca monta dada la popularidad de la aplicación y las dificultades técnicas que supuso el cambio.
En su momento, activistas y organizaciones de privacidad en línea aplaudieron esta jugada, pues representaba un gran paso adelante en la tarea, inacabable, de asegurar las comunicaciones digitales de millones de personas en todo el mundo.
Este viernes, el diario inglés The Guardian publicó en exclusiva una investigación en la que se detalla una puerta trasera en el sistema de cifrado de la aplicación: en pocas palabras, las comunicaciones de WhatsApp pueden ser conocidas por esta empresa y por Facebook (compañía dueña de la app de mensajería). Un usuario de Twitter dijo lo siguiente: “El tal cifrado ese no existe”.
Lo genial del cifrado de punta a punta que implementó la aplicación es que corría bajo un protocolo seguro y recomendado por personas como Edward Snowden, excontratista de la CIA, e imposibilitaba a WhatsApp de conocer los mensajes que transmitían sus usuarios. Y si las comunicaciones no pueden ser descifradas por la empresa dueña de la aplicación, pues tampoco podrían serlo por otros sectores interesados: criminales y agencias de seguridad de gobiernos, que a veces suelen portarse como criminales en estos temas.
Con lo publicado por The Guardian el gran problema es justamente este: no tanto que WhatsApp y Facebook conozcan las comunicaciones (una opción que de por sí da susto), sino que abre la posibilidad para que los gobiernos sigan obteniendo los mensajes de los usuarios mediante órdenes judiciales. En Estados Unidos, por ejemplo, muchas de estas acciones se hacen en secreto y son emitidas por una corte conocida como Fisa; a la larga, el usuario jamás es notificado que sus mensajes están siendo investigados por autoridades.
La investigación de The Guardian está fundamentada en el trabajo de Tobias Boelter, un investigador en seguridad digital y criptografía de la Universidad de California, Berkley. En declaraciones al diario inglés, el académico dijo que “si una agencia gubernamental le pide a WhatsApp que revele el historial de conversaciones, la empresa puede facilitar este acceso debido al cambio en las llaves de los mensajes”.
Un mensaje cifrado es, en palabras simples, una comunicación que se envía cerrada con una suerte de llave a un usuario que posee, a su vez, otra llave para abrir el mensaje. Por esto es que el método se conoce como cifrado de punta a punta, pues la información transmitida va protegida en su recorrido, lo que impide conocer su contenido en la mitad del viaje, por llamarlo de alguna forma.
La debilidad puntual en la forma como WhatsApp implementó su protocolo de cifrado gira alrededor de cómo un usuario recibe un mensaje que le fue enviado cuando se encontraba fuera de línea. La idea del cifrado es generar llaves únicas para la información, pero la app tiene la habilidad de crear llaves nuevas para las comunicaciones que le fueron enviadas a un usuario que estaba desconectado. Y es aquí cuando se rompe la magia del cifrado de punta a punta.
Este cambio de llaves se hace sin control de los usuarios en una conversación y a quien envía el mensaje sólo le llega una notificación acerca de la modificación una vez se ha reenviado la información, asegura The Guardian.
En contraste, Signal, una aplicación que utiliza el mismo protocolo de cifrado de WhatsApp, no envía automáticamente un mensaje si el receptor de éste ha cambiado su llave de cifrado mientras estaba desconectado: o sea, la app no permite la transferencia de información si una de las partes de la comunicación cambia sus credenciales de cifrado.
De acuerdo con el diario inglés, Boelter, el investigador detrás de esta revelación, le comunicó su descubrimiento a Facebook en abril del año pasado. La empresa le respondió que este era un “comportamiento esperado” y no estaba trabajando activamente en solucionar este escenario. The Guardian verificó por su cuenta, y a través de terceros, que la debilidad en el cifrado de WhatsApp aún existe,
Este no es un asunto fácil y parece no haber un consenso absoluto acerca de los hallazgos de Boelter. Varios expertos han salido a debatir la veracidad del reporte del diario y, aunque no lo llaman falso, lo que sí discuten es si el reenvío de mensajes con nuevas llaves en efecto constituye una puerta trasera en el cifrado de la aplicación.
Por ejemplo, Frederic Jacobs, experto en el protocolo que utiliza la aplicación, aseguró que “es ridículo que esto sea presentado como una puerta trasera en el sistema. Si el usuario no verifica las llaves, pues la autenticidad de las llaves no está garantizada. Ese es un hecho reconocido”.
La implementación del cifrado de WhatsApp estuvo a cargo de personas como Moxie Marlinspike, un experto en seguridad digital, quien también está detrás de Signal (app recomendada por Snowden).