Presentación (Miguel)

¿Qué es WhatsApp? (Miguel)

WhatsApp es una aplicación de mensajería instantánea para teléfonos

inteligentes, que envía y recibe mensajes mediante la red.

Además de utilizar la mensajería en modo texto, los usuarios pueden

crear grupos y enviar imágenes, vídeos, grabaciones de audio y ahora
incluso otros archivos.

Primeros fallos de seguridad (María)

En mayo de 2011 se descubría la primera vulnerabilidad crítica en

WhatsApp.

El resumen de este problema es que WhatsApp utiliza el puerto 443,

un puerto reservado a tráfico cifrado, pero al no estar cifrado su
contenido se transferían los mensajes, el número de teléfono y demás
de una manera totalmente visible.

Llegados al caso de querer interceptar esos datos era realmente simple,

sólo necesitabas un ordenador con tarjeta de red en modo promiscuo.

Pese a todo no era un fallo tan grave ya que sólo se podían leer los
datos de las conversaciones que sucedieran en el mismo instante de la
captación.
¿Qué tipo de cifrado usa actualmente? (Miguel)

WhatsApp empezó a implementar el cifrado de extremo a extremo a

finales del 2014 y a partir del año 2016 se aplicó a todos sus usuarios.

Este protocolo fue desarrollado por la popular compañía Open

Whisper Systems.

¿Cómo funciona? (Miguel)

WhatsApp utiliza el cifrado de extremo a extremo, que solamente está

disponible cuando el emisor y los receptores a los que se les envía
mensajes están usando las últimas versiones de WhatsApp, además
asegura que solo el emisor y el receptor pueden leer lo que es enviado,
y que nadie; ni siquiera WhatsApp lo puede hacer. Esto es porque los
mensajes están cifrados y solo el emisor y el receptor tienen el
código/llave para descifrarlo y leer los mensajes.

[Cifrado de extremo a extremo]

Fallos en este nuevo cifrado (María)

En enero de 2017 el diario británico The Guardian se hizo eco de un

fallo en la seguridad de esta tecnología de encriptación, el cual fue
descubierto por el experto Tobias Boelter.

La vulnerabilidad fue descubierta y difundida por este experto pocos

días después de la implantación del sistema de encriptación en 2016.
En esta fecha todavía no se había corregido este fallo, pese a estar la
empresa sobre aviso y ser conscientes de la vulnerabilidad que tenía su
aplicación.

¿Por qué no se ha solucionado todavía? (María)

Esta tecnología también es utilizada en una aplicación de mensajería

propia de Open Whisper: Signal, muy recomendada por su seguridad.

La diferencia está en que al parecer WhatsApp decidió modificar el

comportamiento del cifrado en su aplicación.

Cuando alguien cambia de tarjeta SIM o de teléfono y reactiva

WhatsApp el código de cifrado cambia.

Al cambiar los códigos ciertos mensajes pueden ser leídos por alguien
más aparte de por el emisor del mensaje y el receptor.

Y aunque para los usuarios esto es más cómodo, aquí es dónde se

encuentra el problema de seguridad.

CONCLUSIONES (María)

Da la sensación de que al ser un problema de diseño y no haber

encontrado una solución que no afecte directamente a los usuarios que
utilizan la aplicación, hayan preferido obviar el problema e ignorarlo.
Ya que desde que se publicó esta vulnerabilidad la empresa no ha
emitido ningún comunicado, ni ha propuesto soluciones.