Tecnología

Descubren una "puerta trasera" en WhatsApp que vulnera la privacidad de los chats

Descubren una

El sistema de encriptación de extremo a extremo que protege los datos de los usuarios de WhatsApp, que en teoría evita acceder a la información a nadie que no sea el emisor o el receptor, tiene una "puerta trasera" que permite acceder a las copias de seguridad almacenadas en los servidores de Google Drive.

Así lo reveló el usuario de Reddit crawl_dht, que explicó la forma en que funciona el protocolo de encriptación AES-GCM-256, que emplea WhatsApp desde hace años y también otras plataformas como la de videollamadas Zoom.

AES-GCM-256 es una modalidad de encriptación de extremo a extremo en la que los datos se encuentran cifrados por claves de 256 bits que solo tienen el emisor y el receptor. Sin ellas no es posible conocer el contenido de la información intercambiada, aunque esta pase por los servidores y la nube, ni siquiera por parte de su propio desarrollador.

No obstante, según el usuario de Reddit, en el caso de WhatsApp estas claves no se crean en el propio dispositivo -como sucede en la app Signal- sino que se generan en los servidores de la aplicación, desde donde se envían al usuario.

Cada vez que el usuario accede a WhatsApp desde un nuevo dispositivo, la aplicación recibe la clave para acceder a las copias de seguridad de los chats almacenadas en Drive. Estas claves siguen usándose posteriormente para cifrar los chats, hasta que se restauran de forma periódica por otras, aunque generadas nuevamente en los servidores de la compañía, propiedad de Facebook.

De esta manera, se abre una "puerta trasera" a la encriptación de extremo a extremo que promete WhatsApp, debido a que las claves de encriptación anteriores se almacenan en los servidores para los usuarios que quieran acceder a sus copias de seguridad antiguas.

En cualquier caso, esta puerta trasera hace necesario tener acceso a la cuenta de Google vinculada con el perfil de WhatsApp del propietario.

Anteriormente, WhatsApp les recordó a sus usuarios que nadie, ni siquiera la compañía, tiene acceso a los chats ni a otros datos como a las llamadas  gracias al cifrado de extremo a extremo, presente tanto en su aplicación habitual como en WhatsApp Business.