Mucha atención a las formas, a cómo funciona y de qué manera es posible evitar el daño colateral
No es muy común ver por estos días que la seguridad de WhatsApp se vea directamente amenazada, y menos porque ha sido un usuario el que ha detectado la vulnerabilidad. Se tiene en la retina que el proyecto, con toda la inversión que acarrea genera de por sí confiabilidad extrema, cosa que ahora mismo es muy complejo de evidenciar.
En las últimas horas se ha desatado un escándalo mayúsculo. Y todo a cuenta del sistema de seguridad que implementa el servidor de mensajería instantánea más grande del mundo. Pese a utilizar el bloque de cifrado de extremo a extremo, existe una posibilidad de violar este esquema, accediendo al proceso de alimentación judicial de las copias de seguridad.
La vulnerabilidad está más cerca de los usuarios de lo que parece
El sistema funciona de una forma especial, simple y sencillamente tomando las copias de seguridad que son subidas a las bases de datos que van directo a la nube de cada sistema operativo. Si es usuario de Android, van a Google Drive, y si es usuario de Apple, en iCloud. Desde allí sería muy complejo identificar si dicha información está segura, pues existe una opción para descifrarlo.
Como todo, es en base a la legalidad que el gobierno y sus estados judiciales tienen la potestad de romper estas barreras. Ellos tienen acceso a esta base de datos y de acuerdo al caso es posible tomar estas conversaciones y traerlas a contexto. Pero una cosa es que sea una instancia, y otra que los usuarios identifiquen su falla, así que evitarlo es muy simple.
Generar una clave desenreda todo, o lo clarifica de acuerdo a cómo se quiera ver
Según ha dejado ver un usuario, lo que hace WhatsApp es generar una clave que en todos los casos es AES-GCM-256, para luego almacenar dicha información. Esta clave tiene dos instancias. Una que es mantenerse en vigencia, o simple y sencillamente cambiar cuando el usuario cambia de dispositivo. Y la otra, pasado el tiempo si el usuario no decide restaurarla.
Pero el tema es que dichas claves antiguas no se eliminan, mantienen almacenadas. Es ahí donde entra la participación de los ataques, o de la alimentación en estados judiciales. Por lo tanto las soluciones se caen por su propio peso, no es confiable y tampoco está tan bien argumentado, lo mejor es acudir a otras soluciones como Signal o Telegram, o simplemente esperar a que la seguridad sea ajustada para seguir abarcando el servicio.
