1Actividad Eje 2

“Este chat lo están leyendo esos señores”

Presentado por:
CARLOS AUGUSTO NIÑO HERNÁNDEZ

Marzo 2020

Profesor:
LUIS FRANCISCO LOPEZ URREA

Fundación Universitaria del Área Andina

Facultad de Ingeniería y Ciencias Básicas
Criptografía y Mecanismos de Seguridad
 Introducción

Todo el mundo tiene derecho a la privacidad en la red, pero en ocasiones, se necesita un poco de
proactividad para proteger ese derecho frente a aquellos que querrían un acceso sin limitar a nuestra
intimidad. En un mundo ideal, todos usaríamos aplicaciones de mensajería superseguras para
comunicarnos, como Signal o Wickr, pero, dada la popularidad de aplicaciones menos seguras o más
cuestionables en cuanto a seguridad, como Facebook Messenger o WhatsApp, a veces es más adecuado
adoptar una postura intermedia. Por lo tanto se utilizaran mecanismos sugeridos por la criptografía para que
los archivos y mensajes que puedan ser vulnerables o que contengan información sensible, se pueda
garantizar la privacidad de la información en la red y analizar los distintos métodos utilizados para este fin.
Así poder identificar con mayor precisión cuál es el mejor y si las aplicaciones o métodos que usamos
actualmente son seguros y confiables.
 Desarrollo de la Actividad

1. Realice la lectura del eje 2 del módulo de criptografía, y reflexione a partir del siguiente
interrogante; ¿se puede garantizar la privacidad y confidencialidad de una comunicación cuando el
intermediario conserva copias de sus archivos y mensajes?
Rta:
 En aplicaciones como Whastapp los mensajes no se pueden interceptar durante la
trasmisión, pero las copias de seguridad de los mensajes que se guardan en iCloud para
los usuarios de iPhone es que WhatsApp añadió protección mediante cifrado a las copias
de seguridad a finales de 2016. Sin embargo, las copias de seguridad de los teléfonos
Android que se guardan en Google Drive no se cifran, con lo que quedan expuestas a los
hackers, a gobiernos que podrían obligar judicialmente a Google a entregar los mensajes
de los usuarios o al mismísimo Google. ¿Entonces cómo puede proteger su privacidad en
WhatsApp un usuario de Android? Por suerte, existe la opción de desactivar las copias de
seguridad de los mensajes de WhatsApp en Google Drive.
[ CITATION Car18 \l 9226 ]

Fuente: http://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-
encryption-billion-people#slide-7

El cifrado de extremo a extremo que actualmente se implementa en algunas aplicaciones

de mensajería instantánea. En lugar de almacenar esas claves en un servidor centralizado
y gestionado por personal de dicha aplicación, el cifrado extremo a extremo funciona
mediante el almacenamiento de esas claves de cifrado en el dispositivo de cada usuario
y protocolos que emiten una nueva clave por cada nuevo mensaje, se logra que esos
mensajes no puedan ser interceptados por nadie. Ni siquiera el personal de las
aplicaciones podría tener acceso a esas comunicaciones, a no ser, claro, que uno de ellos
nos robara el dispositivo y lo tuviera desbloqueado, ya que es allí donde se produce el
mecanismo de descifrado de la información.
 Este sistema difiere de otros sistemas de mensajería instantánea y de redes sociales o
servicios en internet en los que las claves no solo se almacenan en los dispositivos sino
también en esa infraestructura de servidores centralizada. Eso hace que tanto las
empresas como los gobiernos puedan tener acceso a dichos datos, y supone también una
forma de que hackers y crackers puedan tratar de violar nuestra privacidad.
Aporte realizado por Carlos Niño
2. Haga la lectura del documento que se sugiere en el módulo, el libro blanco de WhatsApp, y a
partir de la información que usted maneja en referencia al tema, trate de encontrar algún punto
vulnerable en el cifrado extremo a extremo que hace la aplicación de mensajería.
Rta:
 De acuerdo con el documento técnico en el que se explica con más detalle el sistema de
cifrado, basado en el protocolo Signal (antes conocido como Axolotl) diseñado por
Open Whisper Systems.
Este protocolo de cifrado extremo a extremo está diseñado para evitar que terceras partes
y WhatsApp tengan acceso al texto plano de las llamadas o los mensajes. Y lo que es
más, incluso si las clavs de cifrado de un dispositivo de usuario se ven comprometidas
físicamente, no podrán ser usadas para volver atrás en el tiempo y descifrar mensajes
transmitidos con anterioridad. El sistema hace uso de tres tipos de claves públicas (una
para identificar al dispositivo, otra generada periódicamente y firmada digitalmente por la
anterior, y otra que se usa solo una vez en cada utilización del servicio) y tres tipos de
claves de sesión (una clave de administrador usada para generar la clave de cadena, una
clave de cadena utilizada para crear la clave de mensaje, y una clave de mensaje que
consta de 80 bytes: 32 de ellos para una clave AES-256, otros 32 para una clave HMAC-
SHA256, y otros 16 para un IV, un vector de inicialización).[ CITATION Wha17 \l
9226 ]

Algunos riesgos de seguridad relacionados son:

 Problemas de privacidad de Facebook: Facebook compró WhatsApp en 2014,

con lo cual las inquietudes en torno al grupo de redes sociales, conocido por su
recogida de datos agresiva, pasaron a recaer sobre la aplicación de mensajería.
Aunque fuentes de Facebook han asegurado a los usuarios que no existe ningún
modo de poder ver los mensajes de WhatsApp, WhatsApp declaró su intención
de compartir metadatos de los usuarios con Facebook con diversos fines, como
la segmentación publicitaria. [ CITATION Car18 \l 9226 ]
 Copias de seguridad no cifradas: Aunque en Iphone ICloud permita el cifrado
de las copias de seguridad, esto no implica que sea totalmente seguro ya que el
cifrado es proporcionado por la misma compañía, en Android el problema es
aun peor porque Google Drive no realiza el cifrado de dicha información en el
Backup y aunque indica que sus métodos de encriptación de la información es
seguro y el almacenamiento de dicha copia no consume capacidad de
almacenamiento de la cuenta de Google del usuario y es ubicada en otro
repositorio, no garantiza el uso indebido por parte de la compañía u otro ente
gubernamental. Hasta hace poco se ha filtrado información en portales de que
Google intentara implementar dicho cifrado a las copias de seguridad de acuerdo
al siguiente al siguiente artículo de la página web WaBetaInfo:

“Al parecer, futuras versiones de WhatsApp te ofrecerán un punto intermedio

entre la seguridad y tener que prescindir de las copias de seguridad: podrás
proteger tus copias de seguridad, activando la opción desde los ajustes de la
copia de seguridad en Google Drive.
Desgraciadamente la función se encuentra todavía en un estado de desarrollo
muy temprano, por lo que no sabemos cómo funcionará exactamente. Teniendo
 en cuenta que se llama "copias de seguridad protegidas por contraseña", es de
esperar que WhatsApp te permita elegir una contraseña para tu copia de
seguridad.

De este modo, nadie que no posea la contraseña podrá descifrar y, por tanto,
acceder a los datos en la copia de seguridad, ni siquiera WhatsApp o Google.
Como es lógico, lo normal será que tú debas introducir tu contraseña antes de
restaurar una copia de seguridad protegida por contraseña la próxima vez que
reinstales WhatsApp.” [ CITATION WaB20 \l 9226 ]
Aporte realizado por Carlos Niño

3. Consulte el enlace https://ssd.eff.org/, en el sitio web de la fundación fronteras electrónicas para

conocer algunos consejos para vigilar la privacidad en nuestras comunicaciones.
Rta:

 El estar evaluando dichas prácticas de seguridad con periodicidad también es algo

importante que no se deban dejar estáticas y más cuando todos los días emergen nuevas
situaciones, esta planificación empieza por comprender las consecuencias que podríamos
tener si alguien accede exitosamente a nuestros activos informáticos, desde correos
electrónicos, mensajes instantáneos, archivos, passwords y demás. De esta manera al
saber que es valioso para nosotros empezaremos por crear nuestro plan de seguridad.
Una consideración importante es mantener el software actualizado y con un antivirus,
esto ayudará significativamente en la seguridad de nuestros activos informáticos y de
nuestros dispositivos electrónicos que no son menos importantes. Un sin número de
ataques se realiza por medio de phishing, acá es cuestión de concientizarnos de tomar las
medidas cautelares para evitar caer en esta modalidad, verificar la autenticidad de la Url,
verificar la fuente de los correos entrantes, no ingresar a la entidad bancaria por links
colocados en correos electrónicos y mucho menos digitar sus claves, es recomendable
ante la duda abstenerse y si es el caso comunicarse directamente con el banco.
 Conclusiones

 Actualmente encontramos varios métodos para garantizar la privacidad y confidencialidad de

nuestra información utilizando algoritmos de cifrado, método esteganográfico y funciones de

resumen así que depende mucho de los administradores y de la conciencia de propietario de la

información implementarlos o no para su seguridad ya que en ocasiones sabemos que por ahorrar

o por desconocimiento las empresas y las personas pierden información importante.

 Es importante saber que no existe un plan perfecto a la hora de nuestra seguridad informática, la

demanda hace que en el mercado incursionen a diario equipos y software que hacen compleja esta

tarea, lo importante será siempre tener claro qué queremos proteger, de quien queremos

protegerlos y empezar a armar un plan que funcione para nosotros, porque lo que puede ser seguro

para un usuario no puede serlo para otro, es cuestión de tener claro nuestros activos nuestra

situación.
 Referencias

1. Bibliografía

Corrigan, C. (14 de agosto de 2018). avg.com. Obtenido de https://www.avg.com/

WaBetaInfo. (2 de Marzo de 2020). WhatsApp beta for Android 2.20.66: what’s new? Obtenido de
https://wabetainfo.com/whatsapp-beta-for-android-2-20-66-whats-new/
Whatsapp. (19 de Diciembre de 2017). WhatsApp/Security. Obtenido de
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf