Una prueba de seguridad de WhatsApp detecta un punto débil
El servicio de mensajería WhatsApp ya no tiene acceso a los más de 100.000 millones de mensajes diarios de su plataforma, según ha concluido una exhaustiva prueba de seguridad financiada por la Fundación Nacional Suiza para la Ciencia (SNSF). Uno de los puntos débiles detectados puede resolverse con una contraseña segura.
Un cifrado de extremo a extremo debería garantizar la confidencialidad de WhatsApp. Sin embargo, hasta hace poco, la copia de seguridad automática de los chats no ofrecía la misma seguridad, según un comunicadoEnlace externo de la SNSF. Esto se debe a que la clave personal de los datos almacenados en la nube era conocida por la empresa.
“Las copias de seguridad estaban a salvo de todo el mundo, salvo del propio WhatsApp”, explica Julia Hesse, criptógrafa del Instituto de Investigación de IBM en Zúrich que ha recibido financiación de la SNSF.
Esta también podría ser la razón por la que el servicio de mensajería lanzó un nuevo protocolo de copia de seguridad a finales de 2021, que Hesse e investigadores del instituto federal de tecnología ETH Zúrich y la Universidad de Wuppertal en Alemania han examinado ahora en detalle. El estudio demostró que la propia empresa ya no puede acceder a las copias de seguridad.
El estudio descubrió que, con el nuevo sistema, la copia de la clave ya no se almacena en la empresa, sino en un ordenador independiente y especialmente seguro al que WhatsApp no tiene acceso y cuyo código no puede modificarse posteriormente.
Si un usuario pierde su smartphone, ahora puede acceder él mismo a la clave introduciendo una contraseña y restaurar sus propios chats.
“Es como si la clave estuviera guardada en un cofre que sólo se puede abrir con la contraseña”, explica Hesse.
El protocolo también protege la copia de seguridad de los ataques de “fuerza bruta”, que van probando contraseñas hasta dar con la correcta. “Aunque un atacante poderoso consiguiera hacerse con el control de los servidores de WhatsApp, el sistema sólo le permitiría diez intentos, tras los cuales la clave quedaría destruida”, explica Hesse. Pero entonces los datos también se pierden para el usuario.
Vulnerabilidad de la contraseña
Sin embargo, los investigadores descubrieron una posible vulnerabilidad: en modo de funcionamiento normal, el sistema borra las versiones antiguas de la copia de seguridad cuando se crea una nueva versión, como cuando se cambia la contraseña.
“Un ataque a WhatsApp o a cualquier otro sitio podría hacer que se conservaran las versiones antiguas, lo que significaría que sería posible realizar otros diez intentos por cada versión existente”, explica Hesse. Pero esta laguna puede cerrarse eligiendo una contraseña fuerte. “Si, en lugar de tomar su código postal suizo, el usuario elige ocho caracteres con un carácter especial, no importa si el atacante tiene diez o 200 intentos”.
Mostrar más
Programa suizo enseña privacidad en línea a los niños
En cumplimiento de los estándares JTI
Mostrar más: SWI swissinfo.ch, certificado por la JTI
Puede encontrar todos nuestros debates aquí y participar en las discusiones.
Si quiere iniciar una conversación sobre un tema planteado en este artículo o quiere informar de errores factuales, envíenos un correo electrónico a spanish@swissinfo.ch.