Dos ingenieros españoles burlan la seguridad de WhatsApp

Jaime Sánchez y Pablo San Emeterio demuestran que el servicio líder en mensajería instantánea es vulnerable, por lo que cualquier agente externo como la NSA puede interceptar los mensajes. Para impedirlo, han creado WhatsApp Privacy Guard

Dos ingenieros españoles burlan la seguridad de WhatsApp cortesia

Ana I. Martínez

17/11/2013
Actualizado 19/11/2013 a las 22:39h.

Más de 350 millones de personas utilizan WhatsApp . A diario, la popular aplicación de mensajería líder es «testigo» de conversaciones privadas sin que los usuarios sean conscientes realmente de si su conversación puede ser interceptada o espiada. No es algo complicado y así lo ... han demostrado dos ingenieros españoles. Jaime Sánchez , del Centro de Seguridad de una multinacional de telecomunicaciones, y Pablo San Emeterio , experto en seguridad de Optenet, son contundentes: « WhatsApp es muy vulnerable porque se preocupa más de la usabilidad que de la seguridad y espiar los mensajes no es complicado».

Si la Agencia Nacional de Seguridad estadounidense (NSA) accedió supuestamente a datos privados de los usuarios de gigantes como Yahoo, Google o Facebook con la excusa de preservar la «seguridad nacional» en detrimento del derecho a la privacidad , ¿quién nos dice que no pueden acceder a nuestros mensajes de WhatsApp ?

Este es el punto de partida sobre el que Jaime Sánchez y Pablo San Emeterio han estado trabajando con un único objetivo: añadir una nueva capa de seguridad y privacidad en el intercambio de información que garantice la confidencialidad e integridad de los usuarios en caso de que puedan verse afectados por un atacante externo como la NSA.

No hay que olvidar que «toda conversación de mensajería puede ser interceptada» , aseguran ambos expertos, quienes recuerdan cómo Google ya advirtió que no puede garantizar la total privacidad a sus usuarios de Gmail. WhatsApp tampoco y menos aún con los fallos en seguridad que presenta , tal y como estos dos españoles detallan en su investigación presentada en el reciente congreso de seguridad informática y hacking más antiguo de España, «NoConName».

¿Qué error de seguridad comete la famosa «app»?

«Cuando un usuario se registra en WhatsApp por primera vez –comienza explicando Pablo- recibe una clave de los servidores. A partir de este momento, cada vez que el cliente acceda al servicio, para que WhatsApp sepa que se trata del usuario verdadero, le solicita un 'código de autorización' que el cliente debe calcular generando una serie de operaciones matemáticas con, entre otros datos, la contraseña que recibió al darse de alta y el código temporal que el servidor le envía en ese momento. Si después de realizar estas operaciones, el código que obtiene el cliente es igual al que ha calculado el servidor, le deja acceder al servicio». Este proceso, subraya, «implica que la clave original sólo se utiliza para poder obtener contraseñas temporales que sólo se utilizan por cada sesión».

WhatsApp debería utilizar una clave por mensaje«El primer error de WhatsApp está en cómo utiliza el algoritmo cifrado que usa, RC4, que tiene mucho tiempo y su uso está desaconsejado porque se sospecha que ya está completamente roto por agencias de inteligencia. Este se basa en utilizar siempre la misma clave , por lo que es mucho más fácil de atacar», continúa Jaime. Es decir, una aplicación de mensajería instantánea segura debería utilizar una clave por mensaje para que nadie logre descifrar la información . Sin embargo, WhatsApp utiliza la misma combinación secreta para todos sus mensajes. «Por tanto, si un agente externo con conocimientos básicos de criptografía quiere espiarnos, lo tiene muy fácil: podría descifrar el texto original, ya que siempre se usa la misma contraseña, tanto para enviar los mensajes como para recibirlos», explica.

Sin embargo, la famosa «app» no ha hecho ni dicho nada. «Por eso yo me pregunto ¿‘ WhatsApp se preocupa realmente de la seguridad de sus usuarios ’?», plantea Pablo.

La pregunta, de momento, se queda en el aire a la espera de una respuesta. Pero estos dos jóvenes españoles no iban a quedarse de brazos cruzados ante esta indefensión de los usuarios y más a raíz del escándalo del espionaje estadounidense. «Trabajamos para fortalecer la seguridad del usuario de WhatsApp frente a c ualquiera que quiera interceptar las comunicaciones », aclaran. Por ello han creado una aplicación que refuerza en tres niveles la seguridad de la «app»: WhatsApp Privacy Guard , que si nada falla estará lista el próximo mes de diciembre.

Nuevo cifrado de mensajes

Con su creación, el intercambio de mensajes se haría de forma diferente, aunque no perceptible para el usuario. «Cuando una persona quiera enviar un mensaje de WhatsApp , antes de que este salga, WhatsApp Privacy Guard intercepta el mensaje, lo descifra utilizando la clave RC4, extrae el texto y le atribuye un algoritmo cifrado propio .

Después, añade el cifrado de WhatsApp y envía a los servidores de la famosa «app» el mensaje. De esta manera, WhatsApp ya no puede acceder al mensaje enviado . Identifica al usuario porque la clave temporal y la sesión que utiliza coincide, pero no es capaz de ver el texto original del mensaje». Sin embargo, si puede ver el resto de campos del paquete del mensaje (remitente, destinatario, código de mensaje etc.) porque, de lo contrario, no podría procesarlo.

Este sería el primer nivel de seguridad que añade WhatsApp Privacy Guard a la famosa «app»: las comunicaciones vía WhatsApp contarían con un cifrado más robusto . Eso sí, los dos integrantes de la conversación tendría que usar la aplicación para poder mensajearse.

El segundo nivel de seguridad, continúa explicando Pablo, trata de impedir que un agente externo «sepa con quién se escribe un usuario» a través de los metadatos . «Con nuestra aplicación modificamos los destinatarios a través de distintos teléfonos», asegura el joven. Es decir, se utilizarían otras cuentas por las que, a través de números de teléfonos virtuales, iría el mensaje.

El paso a través de los servidores

«El último nivel de seguridad -continúa Jaime - nos lleva un paso más allá. Con las dos anteriores modificaciones, nuestros mensajes siguen pasando por los servidores de WhatsApp. Así que decidimos que esto no fuera así: queremos que los mensajes pasen por una plataforma propia que nosotros controlamos ».

«Hay que defender el derecho a la privacidad»El proceso sería el siguiente: «El programa intercepta el mensaje cuando sale del teléfono, extrae el texto y lo envía a nuestro servidor de mensajería propio. El paquete interceptado se modifica, sustituyendo cada carácter original por uno comodín y se permite el paso a los servidores de WhatsApp. El mensaje pasará los servidores y al llegar al destino será parado por nuestro software, que se encargará de modificar el texto con los caracteres comodín por el texto inicial». Y es que trabajar con los servidores de WhatsApp es obligado pero engañarles es posible. De esta manera, si algún agente externo interceptase la comunicación, no sabrá qué se dice.

Con esta aplicación, ambos expertos persiguen concienciar a la gente sobre la importancia que tienen actos como el espionaje . «El derecho a la confidencialidad y privacidad hay que defenderlo», recuerda Pablo. «No vale que la sociedad piense que ‘como no soy terrorista, no tengo nada que ocultar’», porque «derecho que pierdes, derecho que nos será casi imposible recuperar», alerta Jaime.

Por suerte, parece que la sociedad va concienciándose y esperan que WhatsApp también lo haga. «Nosotros tenemos la esperanza de que digan y hagan algo. Nos sorprenderían gratamente», apuntan, aunque reconocen que ello llevaría mucho tiempo. Mientras tanto, los propios usuarios deberían preocuparse por preservar su privacidad.