WhatsApp es el cliente de mensajería más utilizado en todo el mundo. Uno de los aspectos más criticados desde sus inicios era la baja, e incluso nula, seguridad y privacidad de todas las comunicaciones que realizáramos a través de él. Tras la compra de esta plataforma por parte de Facebook se están realizando numerosos cambios con el fin de convertir el cliente de mensajería líder en lo que de verdad merece ser y, en esta ocasión, le ha llegado el turno al cifrado.
Desde hace tiempo, los ingenieros de WhatsApp han estado trabajando junto a Open Whisper Systems con el fin de dotar a las comunicaciones de un cifrado totalmente seguro extremo a extremo en el que ni WhatsApp ni nadie con acceso a las comunicaciones pueda descifrar y acceder a la información.
Hace escasas horas, finalmente, este nuevo cifrado extremo a extremo ha comenzado a activarse a todos los usuarios de la plataforma de manera que, a partir de este momento, todas las comunicaciones que realizamos serán mucho más seguras de lo que han sido hasta ahora. Sin embargo, ¿sabemos cómo funciona en realidad este nuevo cifrado?
Cuando nos registramos por primera vez en WhatsApp se intercambian una serie de claves con los servidores de manera que quedamos autenticados con él. Utilizando dichas claves, cada vez que iniciamos un chat, una llamada o cualquier otra comunicación, se genera una clave única por cada elemento de manera que todo el tráfico queda cifrado extremo a extremo y permanece cifrado incluso en los propios servidores de WhatsApp, impidiendo que estas puedan ser descifradas.
Para llevar a cabo este cifrado se utilizan los siguientes elementos:
Claves públicas.
- Identity Key Pair – Una clave larga Curve25519 generada en el momento de la instalación.
- Signed Pre Key – Una clave media Curve25519 generada durante la instalación, firmada por una clave de identidad y que cambia con el tiempo.
- One-Time Pre Keys – Una lista de claves Curve25519 de un solo uso generadas durante la instalación y reemplazadas según es necesario.
Claves de sesión:
- Root Key – Una clave 32-byte utilizada para crear las Chain Keys.
- Chain Key – Una clave 32-byte usada para crear las Message Keys.
- Message Key – Una clave 80-byte usada para cifrar todo el tráfico de las comunicaciones:
- 32 bytes se utilizan para la clave AES-256.
- 32 bytes para la clave aHMAC-SHA256
- 16 bytes para un IV
Podemos ver más información técnica sobre este cifrado en el siguiente PDF.
Cómo comprobar si el nuevo cifrado de WhatsApp está activado
Este nuevo cifrado se va a activar automáticamente a todos los usuarios tan pronto como esté disponible para su dispositivo, por lo que en este aspecto no tenemos que hacer nada. Por el momento, la versión de iOS ya ha habilitado el nuevo cifrado mientras que la beta de Android ha seguido sus pasos. La versión estable de Android, por el momento, no tiene habilitado el nuevo cifrado extremo a extremo, aunque es cuestión de horas que se active igual que en el resto de versiones.
Actualización: Ya sí que está habilitado el nuevo cifrado en las versiones estables de WhatsApp para Android.
La forma más clara de saber con certeza que este nuevo cifrado ha sido habilitado es si en las conversaciones nos aparece un mensaje como el siguiente: “Los mensajes enviados a este grupo ahora están seguros con cifrado extremo a extremo. Toca para más información”
A partir de este momento, todas las comunicaciones van a estar cifradas. El código va a ser único por cada chat por lo que, incluso aunque en el prácticamente imposible caso de que logren hacerse con una clave, esta solo afectará a un chat, manteniendo el resto de las comunicaciones blindadas.
Si pulsamos sobre el nombre del destinatario o grupo podremos ver también un candado que nos indica que la conversación está siendo segura y, si pulsamos sobre él, la clave única, en forma de QR y 60 dígitos.
Como podemos ver, al fin WhatsApp cuenta con un cifrado digno del cliente de mensajería más utilizado en el mundo. Debemos tener en cuenta que los sistemas de cifrado desarrollados por Open Whisper Systems son totalmente seguros y libres de puertas traseras, tal como aseguran grandes defensores de la libertad de Internet como Edward Snowden, quien recomienda el uso de cualquier aplicación o sistema de cifrado desarrollado por estos ingenieros.
Fuente:https://computerhoy.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
