jueves, 20 de noviembre de 2014

Sobre el cifrado de mensajes de Whatsapp

Hace un par de días se conoció la noticia que Whatsapp activaba el cifrado de mensajes, sólo disponible en Android la tecnología utilizada para este proceso es un software de código abierto llamado “TextSecure“, que codifica los mensajes de forma predeterminada, sin necesidad de intervención del usuario.

El nuevo sistema de encriptación punto a punto está disponible por el momento en la versión para Android, aunque de forma gradual alcanzará otras plataformas, según detalló en un comunicado la organización sin fines de lucro Open Wishper System, a cargo de su implementación. El sistema no cifra de momento los mensajes de conversaciones grupales o contenido multimedia (foto, audio, vídeo), pero señalan que lo hará en las próximas versiones.

El impulso de seguridad viene después que el proveedor de mensajería, de propiedad de Facebook, contrajo Open Wishper System, el creador de la aplicación TextSecure de cifrado de texto, para incorporar su tecnología en WhatsApp. Pero fundamentalmente la motivación está impulsada por los múltiples señalamientos a la seguridad de Whatsapp.

El sistema de cifrado de mensajes elegido es bueno, según un estudio reciente, realizado por la Electronic Frontier Foundation (EFF), la utilización de “TextSecure” figura entre los seis sistemas más seguros de mensajería. 

Ayer en una interesante nota, publicada por The Guardian, se informa que "el protocolo de cifrado TextSecure es particularmente fuerte, ya que utiliza una forma de lo que se conoce como "forward secrecy", lo que significa una clave nueva se crea por cada mensaje enviado".

En criptografía, forward secrecy (abreviatura: FS, traducido normalmente al castellano por secreto-perfecto-hacia-adelante),  es la propiedad de los sistemas criptográficos que garantiza que el descubrimiento de las claves utilizadas actualmente no compromete la seguridad de las claves usadas con anterioridad (no las revela).

Los sistemas que utilizan cifrado de extremo a extremo son difíciles de romper porque la clave de comunicaciones que decodifica sólo se almacena en los teléfonos de los usuarios. En versiones anteriores de WhatsApp, esas llaves también fueron almacenados por los servidores, así como los teléfonos de los usuarios, dando a Facebook o a administradores de WhatsApp acceso a los mensajes.

En una entrada de blog, el equipo de Open Wishper System dijo que el proyecto WhatsApp "representa el mayor despliegue de la comunicación encriptada de extremo a extremo en la historia".

Es opinión de los especialistas que el usuario estará más protegido, ya que el tipo de cifrado, que viene activado por defecto, supone la introducción de una seguridad mayor a la que implementan en sus homólogos compañías como Google, Microsoft o Apple. El nuevo cifrado es un método usado en otras aplicaciones como Telegram, y otras menos conocidas como Cryptocat y Silent Text, y lo que se destaca, en las publicaciones especializadas, es que el proveedor del servicio no puede ver los mensajes que intercambian los usuarios.

Señalan que es un cifrado difícil de romper (no imposible de romper), pero no está exento a las posibilidades en las que atacantes pueden aprovechar vulnerabilidades especialmente por las propias negligencias del usuario en el uso de la aplicación.

Hay que entender que la gran mayoría de los 600 millones de usuarios de WhatsApp son personas comunes que participan de la aplicación de mensajería "más popular" en el mundo casi sin ningún tipo de precaución, lo que me recuerda al término Plug-and-play o PnP (en español "enchufar y usar"), algo no compatible con la necesaria "cultura" en ciberseguridad que se debería tener.

No hay comentarios.:

Publicar un comentario

Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.