De acuerdo con las investigaciones realizadas por un estudiante de posgrado de la Universidad de Utrecht en Holanda, el servicio de mensajería instantánea WhatsApp posee fallas en el cifrado de los mensajes, lo cual podría ser aprovechado por alguien escuchando en la red para lograr acceso a las conversaciones transmitidas.
Ya hemos hablado en este blog acerca del cifrado y por qué deberían cifrarse los datos. En particular, WhatsApp utiliza el cifrado en sus comunicaciones, dado que los mensajes son transmitidos por el aire y pueden ser escuchados por cualquiera que tenga un dispositivo con acceso a la red, como un smartphone. Así, las conversaciones viajan en un formato que resulta inentendible para aquellos intrusos que quieran acceder a los mensajes. El problema reside en que, de acuerdo con las investigaciones de Thijs Alkemade, el mecanismo utilizado por WhatsApp (basado en el cifrado RC4) está mal implementado y puede ser vencido, obteniendo como resultado el texto original sin cifrado. Debido a que WhatsApp utiliza la misma clave para cifrar mensajes entrantes y salientes, a partir de dos mensajes cifrados con la misma clave es posible cancelar matemáticamente ésta, deduciendo el contenido de algunos bytes en los mensajes. El investigador explica que, si bien esta técnica no revela en forma directa todos los bytes de un mensaje, muchos de ellos pueden derivarse dado que los mensajes tienen una estructura predecible.
Ante una situación como esta es necesario plantear cuáles son las implicaciones para los usuarios. Para ello debe considerarse que WhatsApp es una aplicación disponible para una gran variedad de smartphones de tipo Android, Blackberry o iOS, entre otros. En el caso en que la aplicación se utilice con la red de datos del proveedor de servicio de telefonía (por ejemplo, una red 3G) es mucho más difícil que un atacante logre acceso a los datos, dado que la comunicación entre el teléfono y la antena celular tiene otro nivel de cifrado. Sin embargo, si los mensajes viajan por una red WiFi, un intruso escuchando el tráfico en dicha red podría explotar la vulnerabilidad descripta. Hace algunos días vimos los riesgos de no proteger adecuadamente nuestra red inalámbrica hogareña: un atacante que logre conectarse a la red tendría la capacidad para escuchar toda la comunicación que por allí transita. Adicionalmente, resulta fundamental destacar el caso de las redes inalámbricas abiertas que pueden encontrarse en lugares públicos. Así como no es recomendable realizar tareas bancarias online en estas redes gratuitas, ahora será recomendable no utilizar WhatsApp en ellas; nunca se sabe quién está escuchando.
Matías Porolli
Especialista de Awareness & Research