01 de octubre de 2020
01.10.2020
La Opinión de A Coruña

Descubren una vía para acceder a las copias de seguridad de WhatsApp

La encriptación de extremo a extremo, que en teoría protege los datos, tiene una vulnerabilidad

01.10.2020 | 08:21
Whatsapp.

El sistema de encriptación de extremo a extremo que protege los datos de los usuarios de WhatsApp, que en teoría evita acceder a la información a nadie que no sea el emisor o el receptor, tiene una puerta trasera que permite acceder a las copias de seguridad almacenadas en los servidores de Google Drive.

Así lo ha asegurado el usuario de Reddit crawl_dht, que ha explicado la forma en que funciona el protocolo de encriptación AES-GCM-256, que emplea WhatsApp desde hace años y también otras plataformas como la de videollamadas Zoom.

AES-GCM-256 es una modalidad de encriptación de extremo a extremo en la que los datos se encuentran cifrados por claves de 256 bits que solo tienen el emisor y el receptor. Sin ellas no es posible conocer el contenido de la información intercambiada, aunque esta pase por los servidores y la nube, ni siquiera por parte de su propio desarrollador.

No obstante, según el usuario de Reddit, en el caso de WhatsApp estas claves no se crean en el propio dispositivo -como sucede en la app Signal- sino que se generan en los servidores de la aplicación, desde donde se envían al usuario.

Cada vez que el usuario accede a WhatsApp desde un nuevo dispositivo, la aplicación recibe la clave para acceder a las copias de seguridad de los chats almacenadas en Drive. Estas claves siguen usándose posteriormente para cifrar los chats, hasta que se restauran de forma periódica por otras, aunque generadas nuevamente en los servidores de la compañía, propiedad de Facebook.

De esta manera, se abre una 'puerta trasera' a la encriptación de extremo a extremo que promete WhatsApp, debido a que las claves de encriptación anteriores se almacenan en los servidores para los usuarios que quieran acceder a sus copias de seguridad antiguas.

En cualquier caso, esta puerta trasera hace necesario tener acceso a la cuenta de Google vinculada con el perfil de WhatsApp del propietario.

En ocasiones anteriores, WhatsApp ya ha recordado a sus usuarios que nadie, ni siquiera la compañía, tiene acceso a los chats ni a otros datos como a las llamadas de los usuarios gracias al cifrado de extremo a extremo, presente tanto en su aplicación habitual como en WhatsApp Business.

Compartir en Twitter
Compartir en Facebook