Cómo funciona su cifrado de extremo a extremo?
Indice
es la aplicación de chat más utilizada del mundo, superando ampliamente a rivales como Messenger, Signal y Telegram. Teniendo en cuenta la cantidad de datos sensibles que solemos compartir en las conversaciones en línea, ¿es seguro utilizar la aplicación? Es más, ¿debería preocuparse por posibles hackeos o fugas de datos, incluso con el cifrado que WhatsApp dice ofrecer?
En este artículo, vamos a responder a estas preguntas analizando las medidas de seguridad de WhatsApp, incluido el cifrado de extremo a extremo. Más adelante, también hablaremos de algunas funciones adicionales que puedes aprovechar para mantener tus chats a salvo de miradas indiscretas.
Seguridad de WhatsApp: ¿Qué es el cifrado de extremo a extremo?
La mensajería instantánea existe desde los albores de Internet, pero las primeras implementaciones distaban mucho de ser seguras. Por un lado, intercambiaban mensajes entre usuarios en texto plano. Esto significaba que cualquier persona con acceso a los servidores de la empresa podía leer los mensajes, incluidos los intermediarios o los actores maliciosos. Y aunque muchos servicios implementaron el cifrado en tránsito a finales de la década de 2000, las empresas solían tener las claves para descifrar las comunicaciones de los usuarios en su extremo.
Ver también: ¿Qué es el cifrado?
Sin embargo, más recientemente, muchas plataformas han adoptado el cifrado de extremo a extremo (E2EE) para mejorar la confidencialidad de los mensajes y la privacidad de los usuarios. En un canal de comunicación cifrado de extremo a extremo, sólo el emisor y el receptor tienen las claves necesarias para descifrar los mensajes del otro. Nadie más -incluida la plataforma, su ISP o incluso un hacker con acceso a los datos cifrados- puede leer sus mensajes.
WhatsApp utiliza por defecto el cifrado de extremo a extremo para todos los mensajes y llamadas.
Desde 2014, el sistema de cifrado de extremo a extremo de WhatsApp se basa en el protocolo Signal de código abierto de Open Whisper Systems. Es posible que conozcas a esta empresa como los desarrolladores de la aplicación de chat Signal, un competidor de WhatsApp que se enorgullece de dar prioridad a la seguridad y la privacidad.
Según la documentación de WhatsApp, prácticamente toda su comunicación en la plataforma está protegida con un cifrado de extremo a extremo. Esto incluye mensajes, medios, notas de voz, llamadas e incluso actualizaciones de estado.
¿Cómo funciona el cifrado de WhatsApp?
El protocolo de cifrado Signal utilizado por WhatsApp combina múltiples técnicas criptográficas, empezando por el cifrado de clave pública. En pocas palabras, consiste en que cada usuario posee un par de claves generadas aleatoriamente: una que permanece privada y otra que se distribuye públicamente.
La idea es que el remitente utilice la clave pública del destinatario para cifrar los mensajes. En el otro extremo, el destinatario utiliza su clave privada para descifrarlo. Como su dispositivo genera la clave privada, WhatsApp nunca tiene acceso a ella. Esta sencilla técnica criptográfica se lleva utilizando desde hace décadas, con versiones modificadas que protegen desde los correos electrónicos hasta las carteras de criptomonedas.
El protocolo Signal utilizado por WhatsApp está considerado universalmente como el estándar de oro para la mensajería cifrada.
Sin embargo, el cifrado de clave pública estándar no es lo suficientemente seguro por sí solo. Tiene un único punto de fallo. Si tu clave privada se ve comprometida, un atacante podría descifrar tus chats pasados, presentes y futuros sin ningún tipo de control. Para remediar esto, los desarrolladores del protocolo de Signal idearon una novedosa técnica llamada cifrado de doble trinquete.
En lugar de utilizar un conjunto estático de claves para cada usuario, el protocolo utiliza una mezcla de claves permanentes y temporales. Estas últimas cambian cada vez que se envía un nuevo mensaje. Esto significa que si un teórico atacante accediera a una clave concreta, no podría descifrar más que unos pocos mensajes. Renovar constantemente las claves parece una solución exagerada, pero también es lo suficientemente sencilla como para que nuestros smartphones puedan manejarla sin esfuerzo.
Por supuesto, el sistema de cifrado de WhatsApp es mucho más complejo, y puedes encontrarlo en el libro blanco técnico de la compañía sobre el tema.
Sin embargo, el quid de la cuestión es que el cifrado es lo suficientemente sólido y robusto como para evitar las escuchas y otros ataques básicos similares.
Leer más: Las mejores aplicaciones de mensajería privada
¿Es seguro tu chat de WhatsApp? ¿Qué opinan los expertos?
WhatsApp te permite verificar que tus chats y llamadas individuales están cifrados de extremo a extremo. Sólo tienes que abrir un chat dentro de la aplicación, tocar el nombre del contacto y, por último, la etiqueta «Cifrado». Te encontrarás con un código QR y un número de 60 dígitos. Ahora, sigue los mismos pasos en el teléfono del destinatario y compara los valores.
Si el número coincide en ambos dispositivos, el chat estará correctamente cifrado de extremo a extremo. WhatsApp llama a esto «código de seguridad», pero no es más que una forma más sencilla de representar la clave pública de la que hablamos antes. Completar este paso también ayuda a garantizar que tu comunicación llega a la persona correcta y no a un impostor malicioso que se hace pasar por tu contacto. También hace que WhatsApp se responsabilice: si las claves no coinciden, la empresa se vería sometida a un enorme escrutinio.
La función de verificación de claves de WhatsApp te permite asegurarte de que tu chat no ha sido secuestrado o interceptado por un tercero malintencionado.
Dicho esto, WhatsApp no es perfecto: registra una buena cantidad de información sobre ti fuera de la interfaz del chat. Los datos recogidos incluyen tu lista de contactos, ubicación, identificadores de dispositivos e historial de transacciones, entre otros. Sin embargo, Signal es la única alternativa que afirma recopilar menos datos y hace hincapié en la seguridad con auditorías de seguridad independientes. Otras aplicaciones de chat populares como Messenger y Telegram ni siquiera ofrecen cifrado de extremo a extremo por defecto.
Más información: ¿Qué datos recopila WhatsApp sobre mí?
Por esta razón, los investigadores de seguridad recomiendan WhatsApp por encima de la mayoría de la competencia. La Electronic Frontier Foundation ha criticado las prácticas de intercambio de datos de la aplicación. Sin embargo, sostiene que «WhatsApp sigue utilizando un fuerte cifrado de extremo a extremo, y no hay razón para dudar de la seguridad del contenido de tus mensajes en WhatsApp».
El cofundador de Signal y reconocido criptógrafo Moxie Marlinspike también ha avalado la app en el pasado. En una entrada del blog de 2017, dijo: «Nosotros [Signal] creemos que WhatsApp sigue siendo una gran opción para los usuarios preocupados por la privacidad del contenido de sus mensajes.»
Crees que WhatsApp es seguro?
136 votos Sí 49% No 51%
Potenciales ataques a WhatsApp de los que debes desconfiar
A estas alturas está bastante claro que el contenido de tus chats de WhatsApp es confidencial. Sin embargo, todavía hay algunos peligros potenciales para la seguridad que debes conocer. Aunque tus chats nunca serán interceptados en su camino hacia ti, están bastante expuestos una vez que llegan a su destino. En otras palabras, tu teléfono y el dispositivo de cualquier destinatario son objetivos mucho más fáciles para posibles ataques.
Si pierdes tu smartphone, por ejemplo, un atacante con acceso físico a él podría copiar tu base de datos de mensajes de WhatsApp fuera del dispositivo. Por suerte, WhatsApp encripta este archivo, y para recuperar la clave es necesario tener acceso root en Android. Si no sabes lo que es eso, probablemente no tengas nada de qué preocuparte. Dicho esto, podrían seguir accediendo a archivos multimedia como imágenes y vídeos. Todo esto se puede remediar fácilmente con un simple bloqueo de pantalla en tu smartphone.
Tu teléfono y tu cuenta de almacenamiento en la nube son objetivos más fáciles para la mayoría de los atacantes, así que asegura bien tus copias de seguridad.
Otro vector de ataque potencial muy publicitado tiene que ver con las copias de seguridad en la nube en Google Drive y iCloud. Por defecto, WhatsApp hará una copia de seguridad de tus chats en estos servicios sin ningún tipo de cifrado. Esto significa que si un atacante consigue acceder de alguna manera a tu cuenta de almacenamiento en la nube, también podría, en teoría, hacerse con tus datos de WhatsApp.
Por suerte, WhatsApp ya ha implementado la posibilidad de cifrar las copias de seguridad de los chats con una contraseña o una clave de cifrado.
Esta última es una clave de 64 dígitos generada aleatoriamente. Puedes guardarla en un gestor de contraseñas para obtener la máxima seguridad. Se trata de una función opcional, así que asegúrate de activarla en Ajustes > Chats > Copia de seguridad del chat dentro de la aplicación de WhatsApp en Android.
En cuanto a las funciones de seguridad opcionales de WhatsApp, considera activar también la autenticación de dos factores. Puedes encontrarla en Ajustes de WhatsApp > Cuenta > Verificación en dos pasos.
Esto requerirá que introduzcas un PIN cuando registres tu cuenta en un nuevo teléfono. No evitará la filtración de datos, pero podría prevenir los intentos de inicio de sesión fraudulentos de actores maliciosos.