En realidad, WhatsApp no ofrece cifrado “extremo a extremo”

Opini贸n: Cuando env铆o un correo o un mensaje instant谩neo, realmente no es una comunicaci贸n de ‘extremo a extremo’, ya que (en el sentido m谩s estricto) probablemente no estoy enviando el mensaje directamente a la otra persona.

驴Por qu茅 es importante que WhatsApp active el cifrado de extremo a extremo? Cuando te comunicas con otra persona en Internet, es f谩cil imaginarse que el mensaje viaja como una llamada de tel茅fono. Y al igual que las llamadas de tel茅fono, son comunicaciones de 鈥渆xtremo a extremo鈥 y pueden ser espiadas y. El sonido viaja desde el micr贸fono de tu dispositivo a trav茅s de una serie de circuitos el茅ctricos, hasta el dispositivo del receptor que reproduce el sonido que t煤 has emitido. Si el receptor no estaba ah铆, la llamada no se guarda para m谩s tarde, simplemente no ocurre.

Cuando a帽ades el cifrado a una comunicaci贸n de este tipo, lo m谩s sencillo es hacerlo de 鈥渆xtremo a extremo鈥, es decir, se mezcla la se帽al en nuestro tel茅fono de manera que alguien que intercepte la se帽al en tr谩nsito solo oiga ruido, y cuando llega al tel茅fono del receptor, este la descodificar谩 reproduciendo nuestra voz como si nada hubiera pasado.

Pero las comunicaciones en Internet, como correo electr贸nico o mensajes instant谩neos, casi nunca est谩n cifradas.

En realidad no se trata de cifrado 鈥渆xtremo a extremo鈥

Cuando env铆o un correo o un mensaje instant谩neo, realmente no es una comunicaci贸n de 鈥渆xtremo a extremo鈥, ya que (en el sentido m谩s estricto) probablemente no estoy enviando el mensaje directamente a la otra persona.

Hablando en t茅rminos generales, cuando env铆o un correo o un mensaje instant谩neo, me conecto a un servidor donde dejo el mensaje que queda ah铆 hasta que mi destinatario se conecta y lo descarga.

Puede ocurrir que lo haga instant谩neamente, pero mi dispositivo no tiene una conexi贸n con el dispositivo del destinatario que transmita informaci贸n directamente desde mi tarjeta de red a la suya.

Y cuando nos referimos a un servidor, puede que tambi茅n nos refiramos a un servicio que consiste en una gran cantidad de granjas de servidores, en docenas de pa铆ses que pueden gestionar eficazmente billones de mensajes enviados por cientos de millones de usuarios.

Y eso es lo que ocurre con WhatsApp. Resumiendo, el mensaje se cifrar谩 y descifrar谩 en m煤ltiples ocasiones mientras viaja por su red de servidores hasta que sea descargado por el receptor.

驴Es importante el cifrado?

Si, importa. Mucha gente cree que no, bas谩ndose en que no tienen nada que ocultar, o por decirlo de otra manera, que no hacen nada ilegal.

Sin embargo, el problema es que quien nos va a espiar no va a ser un juez en busca de delitos, lo normal es que sean ciberdelincuentes a los que les interesa todo lo que hagas, para poder atacarte y hacerse con tu dinero.

Por eso estamos muy contentos con la noticia de que WhatsApp ha implementado un sistema de cifrado. Esta empresa no tiene una gran reputaci贸n en cuanto a su preocupaci贸n por la seguridad de sus usuarios, pero parece que desde que hace dos a帽os la comprara Facebook, se empiezan a tomar las cosas m谩s en serio.

驴Qu茅 ha hecho WhatsApp?

No vamos a explicar los detalles criptogr谩ficos, para eso WhatsApp ha publicado un 煤til art铆culo en el que detallan todos los pormenores. Resumiendo, estos son:

– El servicio ni genera ni almacena tus claves de cifrado.
– Usa una nueva clave p煤blica de cifrado para cada mensaje.
– El servido da una huella digital a cada mensaje.

Las consecuencias de estas medidas son:

– WhatsApp no puede descifrar tus mensajes en tr谩nsito.
– WhatsApp no tiene ninguna informaci贸n criptogr谩fica sobre ti.
– Un esp铆a que consiga descifrar un mensaje, no tendr谩 la clave para leer todos los siguientes.

En Sophos creemos firmemente que la encriptaci贸n es una herramienta clave para garantizar la seguridad y privacidad de las comunicaciones. Por ello, estamos encantados con este nuevo paso que ha dado WhatsApp.

Por Pablo Teijeira, Director General de Sophos Iberia

 


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.