WhatsApp agrega cifrado a sus comunicaciones
Si usas la versión más reciente de WhatsApp, puedes estar tranquilo de que tu comunicación está segura y que ningún par de ojos curiosos la podrá ver... ni siquiera el gobierno.
En una entrevista con la revista Wired, Brian Acton y Jan Koum, fundadores de la aplicación de mensajería móvil más utilizada a nivel mundial, confirmaron junto al investigador y criptógrafo Moxie Marlinspike, que ha añadido cifrado end-to-end a su servicio.
Este cifrado extremo a extremo ha comenzado a activarse a todos los usuarios. Cuando nos registramos en WhatsApp se intercambian una serie de claves con los servidores, de manera que quedamos autenticados ante él. Utilizando dichas claves, cada vez que iniciamos un chat, una llamada o cualquier otra comunicación, se genera una clave única por cada elemento de manera que todo el tráfico queda cifrado extremo a extremo y permanece cifrado incluso en los propios servidores de WhatsApp, impidiendo que estas puedan ser descifradas.
Si abres WhatsApp en este momento, deberás ver en tu conversación un mensaje de que este cifrado ya está activo. Según explica Acton y Koum a Wired, el cifrado es del tipo end-to-end encryption, lo que quiere decir que ni siquiera los empleados de WhatsApp pueden leer la información enviada a través de la App.
WhatsApp también lanzó un micrositio en donde explica de forma simple y, para los interesados de forma detallada y con términos de seguridad informática, todo lo referente al cifrado en la comunicación a través de WhatsApp. El cifrado llega para la aplicación de WhatsApp en Android, iOS, BlackBerry, Windows Phone e incluso para esos teléfonos viejitos móviles --pero no inteligentes-- de Nokia.
Para llevar a cabo este cifrado se utilizan los siguientes elementos:
- Claves públicas:
- Identity Key Pair: Una clave de larga duración Curve25519, generada en el momento de la instalación.
- Signed Pre Key: Una clave de duración media Curve25519, generada durante la instalación, firmada por la Identity Key Pair y que cambia con el tiempo.
- One-Time Pre Keys: Una lista de claves Curve25519 de un solo uso, generadas durante la instalación y reemplazadas según sea necesario.
- Claves de sesión:
- Root Key: Una clave de 32-bytes utilizada para crear las Chain Keys.
- Chain Key: Una clave de 32-bytes usada para crear las Message Keys.
- Message Key: Una clave de 80-bytes usada para cifrar todo el tráfico de las comunicaciones
- 32 bytes se utilizan para la clave AES-256.
- 32 bytes para la clave HMAC-SHA256
- 16 bytes para un IV
"WhatsApp no tiene forma de colaborar con órdenes de cortes demandando acceso a cualquier mensaje, llamada, foto o video viajando en el servicio", explica Wired. En el micrositio referente a seguridad en WhatsApp, la aplicación explica: "El cifrado de extremo a extremo en WhatsApp está disponible cuando tú y las personas a las que les envías mensajes están usando las últimas versiones de WhatsApp. [...] El cifrado de extremo a extremo de WhatsApp asegura que sólo tú y el receptor puedan leer lo que es enviado, y que nadie en el medio; ni siquiera WhatsApp lo puedan hacer".
WhatsApp utiliza el cifrado de código abierto Textsecure, creado por la compañía sin fines de lucro Open Whisper Systems y que revuelve los mensajes; la única forma de ordenar los mensajes es con una llave que cambia con cada nuevo mensaje y que se almacena únicamente en los teléfonos dentro de la conversación. Cada llave es único para cada mensaje enviado.
Si no recibes el mensaje en la conversación (como en la imagen), ve a la información de cada conversación y debajo de los archivos multimedia enviados, mensajes destacados y notificaciones, aparece un apartado llamado Cifrado, en donde aparece un candado en tono azul y dice que los mensajes y llamadas están cifrados. WhatsApp también da la opción de escanear un código QR para confirmarlo.
El cifrado completo y de punto a punto en WhatsApp llega a penas unas semanas después de que la aplicación de mensajería entrara en el ojo de investigaciones del gobierno de Estados Unidos, pues agencias gubernamentales estaban investigando formas de brincar el cifrado del app.
Sin embargo se debe tener en cuenta que mientras se aclama que este cifrado es verdaderamente privado y seguro, esta afirmación no es realmente correcta: los metadatos no son secretos. El gobierno podría, por ejemplo, exigir conocer con quien se comunicó un usuario en particular, si lo hizo así y con qué frecuencia. Incluso puede ser capaz de decir desde dónde se realizó la conversación.
Es decir que el nuevo cifrado es sin duda una inflexión en cuanto a seguridad de los contenidos de las conversaciones, pero WhatsApp todavía no es una plataforma segura, privada y a prueba de ordenes judiciales y gubernamentales.
Los inicios de WhatsApp y el cifrado se remontan a 2014, cuando WhatsApp agregó cifrado en Android; en agosto de 2015 iOS recibió el mismo cifrado y en marzo se comenzó a cifrar los chats grupales. Sin embargo, a partir de hoy toda comunicación a través de WhatsApp ya es segura.