A, B, C del cifrado de WhatsApp

A, B, C del cifrado de WhatsApp

WhatsApp deja en claro que para ellos es primero la confianza y seguridad de sus usuarios que cualquier ataque político en su contra.

1652
1
COMPARTIR
whatsapp encriptado apple fbi ebusinesshoy
Apple FBI es cosa del pasado. Whatsapp encripta todos sus servicios.

Olviden la gesta emprendida por Apple contra el FBI, quienes habían solicitado desbloquear el iPhone del tirador de Washington. La compañía se rehusó, iniciando un debate sobre los límites de la privacidad y la seguridad en la era digital. Ahora, en una oficina de Mountain View, California, tres desarrolladores hicieron que el gran debate luciera minúsculo.

La locación es el hogar de WhatsApp, el servicio de mensajería que adquirió Facebook el 19 de febrero de 2014. Originalmente pensada como una aplicación pequeña para conectar a familiares y amigos, creció para convertirse en una de las aplicaciones de mensajería más grandes a nivel mundial. Más de 1,000 millones de personas mandan mensajes, hacen llamadas de teléfono, mandan fotos y videos a través del servicio. Lo cual quiere decir que por sí mismo Facebook contiene una de las redes de comunicación privada más grandes del globo. Ahora los fundadores de WhatsApp, Brian Acton y Jan Koum, junto al genio programador y encriptador Moxie Marlinspike (éste es un pseudónimo), anunciaron que la compañía ha añadido encriptación extremo a extremo en cada uno de los frentes de comunicación que ofrece el servicio.

WhatsApp mensaje encriptación ebusinesshoy
La leyenda que apareció en las conversaciones de los usuarios de WhatsApp después de la última actualización.

Esto significa que cualquier grupo de personas que usen la última versión de la app, sabrán que sus mensajes serán encriptados automáticamente por el servicio. En cualquier teléfono que corra la app, desde iPhones hasta Android, Windows y la vieja guardia de los Nokia flips. Con el cifrado extremo a extremo, ni siquiera los empleados de WhatsApp pueden leer la información que se envía a través de su red.

En otras palabras, WhatsApp no tiene manera de colaborar con una orden de registro de la corte para tener acceso al contenido de cualquier mensaje, llamada, foto o video que haya pasado por su servicio. Todo el contenido de la aplicación entre dos usuarios o más que han cifrado su conversación personalmente, además, concluye en la confirmación de que los dispositivos desde los cuales se emiten y reciben mensajes se encuentran en posesión de los dueños de las cuentas. La solución es fácil: cada usuario se ocupa de verificar directamente desde su teléfono que es él en el teléfono de su(s) interlocutor(es).

WhatsApp confirmación manual
Al hacer clic sobre la leyenda aparece el siguiente cuadro de diálogo, a través del cual el usuario puede volver a confirmar la encriptación de manera manual, seleccionando la opción “confirmar”.

“Construyendo productos seguros realmente haces más seguro al mundo”, dijo Acton para Wired. Con la encriptación, explica Acton, cualquiera puede llevar un negocio o hablar con el doctor sin tener que preocuparse por entrometidos. Con la encriptación, dice, puedes ser un delator —y no preocuparte. Esto significa que esta nueva encriptación empodera al individuo, al consumidor, no a corporativos o gobiernos.

Código QR confirmación manual
A continuación al usuario le aparece una pantalla con un código QR, con el cual su interlocutor podrá reafirmar la encriptación escaneando el código.

WhatsApp ha probado una cosa con esto: su compromiso es con los usuarios, quienes desean tener control sobre su privacidad y el modo en que sus datos pueden ser empleados por instancias ajenas (delictivas, gubernamentales o empresariales). El FBI y el Departamento de Justicia decidieron no dar declaraciones al respecto. Pero muchos dentro y fuera del gobierno están seguros de que este movimiento de la compañía no les fue del todo agradable.

El tema político e ideológico del modo en que se emplea la tecnología apareció al centro como polémica inevitable. En 2014, WhatsApp cifró parte de su red. En los meses subsecuentes, esto pareció facilitar actos criminales, incluidos los ataques de París del año pasado. De acuerdo a The New York Times, recientemente, el Departamento de Justicia estuvo considerando una demanda contra la compañía después de que una orden de intervención telefónica se encontrara como resultado con un cifrado extremo a extremo.

“El gobierno no desea detener el cifrado”, dijo Joseph DeMarco, un ex fiscal federal que se especializó en crímenes cibernéticos y ha representado a varias agencias detrás del Departamento de Justicia y el FBI en su lucha contra Apple, declaró para Wired. “Pero la pregunta es: ¿qué harás cuando alguna compañía cree un sistema de encriptación que haga imposible cumplir una orden de registro de la corte para ser ejecutada? ¿Cuál es el nivel razonable de ayuda que debes pedir de la compañía?”

WhatsApp se negó a discutir sobre cualquier orden de registro para escuchar llamadas particulares. E incluso la probable demanda no inmutó a Acton y Koum. Ambos empezaron a añadir cifrado a WhatsApp desde 2013 y redoblaron esfuerzos en 2014, después fueron contactados por Marlinspike. El hacker dreadlocked echó a andar un proyecto de software abierto, Open Whisper Systems, para proveer encriptación a servicios de mensajería. En los círculos de seguridad tecnológica y de privacidad, Marlinspike es conocido como un idealista.

Sin duda el avance acelerado de la era digital pone en jaque la vetusta y nada eficiente adaptabilidad del marco legal. Esta situación logra poner sobre la mesa viejos debates que toman nuevos carices a partir de un nuevo contexto —en este caso las libertades individuales. En el caso de los Estados Unidos, este debate se intensificó podo después de la promulgación de la Ley Patriota, que se dio a raíz de los ataques acontecidos el 11 de septiembre del 2001.

¿Cómo funciona el cifrado de WhatsApp?

Esto no podía haber llegado en mejor momento. Millones de personas tienen ahora acceso al cifrado de mensajería gracias a WhatsApp. A pesar de que ha estado allí en muchas formas y grados durante muchos años, el cifrado nunca han sido tan complejo y completo.

El Signal Protocol (Protocolo de Señal), diseñado por Open Whisper Systems, es la base del cifrado de extremo a extremo de WhatsApp. Este protocolo de cifrado de extremo a extremo está diseñado para impedir a terceros (y al propio WhatsApp) acceder al contenidos de los mensajes o las llamadas. Incluso si las claves de cifrado desde el dispositivo de un usuario están comprometidas físicamente, no pueden ser empleadas para descifrar los mensajes transmitidos anteriormente.

La idea es simple: cuando se envía un mensaje, la única persona que puede leer es la persona o grupo de chat que envíe ese mensaje y quien recibe. Nadie puede ver el interior de ese mensaje. No los delincuentes, menos los piratas informáticos. Tampoco los regímenes opresivos. Ni siquiera WhatsApp. El cifrado también cubre todas las llamadas de voz, mensajes, fotos, videos, archivos y mensajes de voz enviados a través de la aplicación.

En términos generales, el cifrado se reduce a lo siguiente:

1. A la hora del registro, el cliente de WhatsApp transmite su clave de identidad pública, su clave firmada previamente y un lote de pre claves para el servidor. El servidor WhatsApp almacena estas claves públicas asociadas con el identificador del usuario. En ningún momento el servidor de WhatsApp tiene acceso a ninguna de las claves privadas de los clientes.

2. Después de la construcción de una sesión de cifrado de larga duración, el usuario puede enviar mensajes al destinatario, incluso si el destinatario no está en línea. Hasta que el destinatario responde, el “iniciador” incluye la información (en la cabecera de todos los mensajes enviados) de que el receptor requiere la construcción de una sesión correspondiente.

3. Una vez que se ha establecido una sesión, los clientes intercambiar mensajes que están protegidos con un “mensaje clave” mediante AES 256 en el modo CBC para el cifrado y HMAC-SHA256 para la autenticación. El “mensaje clave” que se utiliza para cifrar un mensaje no puede ser reconstruida a partir del estado de la sesión después de que un mensaje ha sido transmitido o recibido. El mensaje clave se deriva de “Llavero”. Además, un nuevo acuerdo ECDH se realiza con cada mensaje de ida y vuelta para crear un nuevo “llavero”. Esto proporciona confidencialidad directa a través de la combinación de ambos.

4. Aplicaciones de mensajería no cifradas muy tradicionales emplean típicamente algo llamado server-side fan-out (actualizaciones de trayectorias múltiples que permiten al cliente actualizar en distintos puntos desde un mismo dispositivo, distribuyendo la data en diferentes locaciones). Un cliente que desee enviar un mensaje a un grupo de usuarios transmite un mensaje único, que luego se distribuye n veces a los diferentes miembros del grupo n por medio del servidor.

Este recurso de WhatsApp contrasta con el server-side fan-out, donde un cliente transmite un mensaje único n veces a los n miembros del grupo. Los mensajes a grupos de WhatsApp se basan en las sesiones de cifrado por pares para lograr la eficiencia del lado del servidor abanico de salida para la mayoría de los mensajes enviados a grupos.

¿Más detalles? Les dejamos aquí el whitepaper de WhatsApp: