Se descubren más fallos en la seguridad de Whatsapp
Parece increíble que una empresa con más de 300 millones de usuarios cuide tan poco su seguridad. Las noticias sobre su falta de seguridad son constantes, y hoy tenemos otros dos fallos más.
Los dos comparten el mismo error: no usar claves diferentes para el envío y recepción de mensajes. Por una parte, se usa la misma clave para el algoritmo RC4, el encargado de cifrar los mensajes. Tal y como se cifran los mensajes con RC4, esto permite “anular” la clave y a partir de ahí se pueden obtener los mensajes originales.
Por otra parte, también usa la misma clave para autenticar y verificar los mensajes (HMAC). El HMACes un código que asegura que el mensaje no se ha modificado ni intencional ni accidentalmente por el camino. El problema es que, si usamos siempre el mismo, un atacante que esté entre un usuario y los servidores de Whatsapp puede reproducir cuantas veces quiera un mensaje, eliminarlo o reenviarlo de vuelta y ni el usuario ni los servidores sabrían que está pasando.
Por otra parte, también usa la misma clave para autenticar y verificar los mensajes (HMAC). El HMACes un código que asegura que el mensaje no se ha modificado ni intencional ni accidentalmente por el camino. El problema es que, si usamos siempre el mismo, un atacante que esté entre un usuario y los servidores de Whatsapp puede reproducir cuantas veces quiera un mensaje, eliminarlo o reenviarlo de vuelta y ni el usuario ni los servidores sabrían que está pasando.
Y lo peor de todo no es ya que Whatsapp no consiga implementar bien la seguridad. Lo peor es que estos fallos se conocen desde hace más de diez años (Microsoft tuvo problemas por repetir claves RC4 en soluciones de VPN). En teoría, son fallos que alguien con una formación mínimamente decente en criptografía no debería cometer, lo que nos demuestra lo poco que se preocupa Whatsapp por su seguridad.
Whatsapp juega con el hecho de que esto no le importa a casi nadie. Y es cierto que, para la mayoría de los usuarios, no importa mucho la seguridad en un medio que, normalmente, no se usa para comunicar datos sensibles. Sin embargo, la seguridad es importante y puede que en algún momento este asunto les explote en la cara (aunque reconozco que parece difícil que un escándalo de este tipo influya demasiado en los usuarios).