Logo app Whatsapp - PIXABAY/CC/ARIVERA - Archivo
MADRID, 30 Sep. (Portaltic/EP) -
La generación de las claves de encriptación de WhatsApp en los servidores de la compañía plantea un problema de seguridad que permite acceder a las copias de las conversaciones almacenadas en los servidores de Google Drive.
Así lo ha asegurado el usuario de Reddit crawl_dht, que ha explicado la forma en que funciona el protocolo de encriptación AES-GCM-256, que emplea WhatsApp desde hace años y también otras plataformas como la de videollamadas Zoom.
AES-GCM-256 es una modalidad de encriptación de extremo a extremo en la que los datos se encuentran cifrados por claves de 256 bits que solo tienen el emisor y el receptor. Sin ellas no es posible conocer el contenido de la información intercambiada, aunque esta pase por los servidores y la nube, ni siquiera por parte de su propio desarrollador.
No obstante, según el usuario de Reddit, en el caso de WhatsApp estas claves no se crean en el propio dispositivo -como sucede en la app Signal- sino que se generan en los servidores de la aplicación, desde donde se envían al usuario.
Cada vez que el usuario accede a WhatsApp desde un nuevo dispositivo, la aplicación recibe la clave para acceder a las copias de seguridad de los chats almacenadas en Drive. Estas claves siguen usándose posteriormente para cifrar los chats, hasta que se restauran de forma periódica por otras, aunque generadas nuevamente en los servidores de la compañía, propiedad de Facebook.
De esta manera, se abre una 'puerta trasera' a la encriptación de extremo a extremo que promete WhatsApp, debido a que las claves de encriptación anteriores se almacenan en los servidores para los usuarios que quieran acceder a sus copias de seguridad antiguas.
En cualquier caso, esta puerta trasera hace necesario tener acceso a la cuenta de Google vinculada con el perfil de WhatsApp del propietario.
En ocasiones anteriores, WhatsApp ya ha recordado a sus usuarios que nadie, ni siquiera la compañía, tiene acceso a los chats ni a otros datos como a las llamadas de los usuarios gracias al cifrado de extremo a extremo, presente tanto en su aplicación habitual como en WhatsApp Business.
Esto se debe a que la encriptación de extremo a extremo se aplica a las conversaciones, llamadas y actualizaciones, que quedan almacenadas en el propio dispositivo y solo visibles para las personas con las que el usuario decida compartirlas.
Los usuarios pueden guardar una copia de sus conversaciones en un servicio en la nube, como Google Drive o iCloud de Apple. No obstante, en la aplicación ya se avisa de que “los mensajes y archivos de la copia de seguridad no están protegidos por el cifrado de extremo a extremo de WhatsApp”.