Se ha descubierto un fallo intencionado en WhatsApp mediante el cual se podría facilitar una puerta trasera a actores poderosos como organismos gubernamentales o fuerzas de seguridad para acceder a nuestras conversaciones cifradas en un servidor en la nube.
A pesar del avance que ha existido relativo a la seguridad de nuestras conversaciones en Internet, gracias sobre todo al estreno de la funcionalidad de cifrado extremo a extremo, las cosas serían distintas cuando gobiernos o fuerzas de seguridad quieran acceder a nuestros chats privados. Precisamente WhatsApp no es el mayor ejemplo de seguridad, y más tras descubrirse un curioso fallo intencionado.
El usuario de reddit crawl_dht ha descubierto un fallo intencionado en WhatsApp, que permitiría que gobiernos o fuerzas del orden puedan acceder a nuestras conversaciones almacenadas en la nube. No sería la primera vez que se sospecha que WhatsApp crea una serie de fallos de seguridad intencionados para contentar a los gobiernos, una especie de “puertas traseras” que ayudarían a entes poderosos a acceder a nuestras conversaciones sin nuestro consentimiento.
El fallo deriva de que todas las conversaciones cifradas se suben a la nube, sea Google Drive en Android o bien a iCloud en iOS. Si bien todas estas conversaciones se suben cifradas, el problema es que no quedan almacenadas en nuestro dispositivo, sino en la propia nube de Apple o Google, curiosamente empresas norteamericanas. Todas estas conversaciones almacenadas están cifradas mediante clave de tipo AES-GCM-256 que si bien es bastante fuerte, ya no sería responsabilidad del usuario al estar en servidores externos.
Esto haría que los distintos gobiernos o fuerzas de seguridad, con herramientas propias, puedan descifrar todas estas claves y hacerse con nuestras conversaciones.
Cuando el cliente registra un nuevo teléfono, lo que hace la aplicación es recoger dicha clave almacenada en el servidor y usarla para descifrar la copia de seguridad y así habilitar la aplicación en nuestro nuevo dispositivo. Todas estas claves, incluidas las antiguas, se siguen almacenando en los servidores al olvido del usuario, pero al alcance de otros actores.
A diferencia de Signal, otra aplicación popular en lo que respecta a seguridad, si bien usa igualmente el cifrado AES-GCM-256, aquí es el propio usuario el que se queda con la contraseña de acceso. Veremos si finalmente WhatsApp se pronuncia al respecto del descubrimiento.