Problemas con la implantación de encrypción en WhatsApp
WhatsApp, ahora una compañía de Facebook, implanto encrypción en sus comunicaciones, afectando a alrededor de un billón de personas. En su reseña del programa, Steve Gibson de SecurtyNow! (www.grc.com), destaco dos importantes problemas del cual los usuarios deben estar conscientes.
1) Ausencia de autentificación
2) Alertas de intercepción apagados
Gibson destaco que la seguridad del programa es impresionante, usando complicados esquemas y protocolos de seguridad tal como cien one time llaves publicas que no pueden reusarse. Esto permite la presencia de poder negar haber enviado un mensaje. (Favor referirse al portal de Gibson para una discusión mas detenida.)
No obstante, como en toda seguridad su vulnerabilidad es su punto débil: la ausencia de autentificación. Es decir, podrían tener una conservación altamente segura con alguien quien pretende ser la persona con el cual uno habla.
Facebook reconoce de inmediato que esto es una falla, y estableció una manera de verificar la autenticidad del segundo partido: un QR code que representa una serie de 60 números. Los partidos pueden hablar y repetir los números; o enviar una foto del QR code mediante otros medio (email con PGP) para verificar la misma. Si, se pone complicado y ahí el problema del asunto: personas no diestras de le hará difícil dicha verificación, o no tendrán conocimiento de tener que realizarla.
La segunda critica es que los settings están mal calibrados. La aplicación tiene la habilidad de alertar a los usuarios que su comunicación ha sido interferida. PERO, los settings tienen esta función apagada al instalar el programa. No es algo muy problemático; después de todo lo único que uno tiene que hacer es prenderlo. El problema es que la mayoría de los usuarios no diestros no sabrán su significado o la necesidad de prender la función.
Podríamos concluir que el nuevo sistema de encrypción de WhatsApp es lo que yo llamo como el peor de los dos mundos: la apariencia de seguridad sin actualmente tenerloque típicamente engaña los partidos a revelar mas información de la que deberían de estar revelando.
Todo usuario debería de estar consciente de estas fallas pero, lamentablemente, la gran mayoría las ignoraran por completo.