Alec Muffett, un veterano especialista, contradice la investigación publicada por «The Guardian» y explica por qué la popular aplicación de mensajería instantánea no tiene una «puerta trasera» en su sistema de cifrado que permita acceder a las comunicación
La supuesta «puerta trasera» de WhatsApp que este viernes ha publicado «The Guardian», no es una vulnerabilidad. Al menos, es lo que ahora asegura Alec Muffett, un veterano experto de seguridad, a «Gizmodo», quien califica de «sensacionalista» la historia difundida por el diario.
Un nuevo problema de seguridad del que se ha hecho eco «The Guardian» parte del investigador de criptografía y seguridad informática de la Universidad de Berkeley (EE.UU.), Tobias Boelter, quien parecía que había descubierto dicho un nuevo «bug» en la popular «app» que permitía acceder a los mensajes cifrados. Una «puerta trasera» que daba acceso, según este experto, a la lectura de las comunicaciones a pesar de contar con sistemas de seguridad cifrados de «extremo a extremo».
Sin embargo, Muffett aclara que no se trata de una «puerta trasera». «No es un error, está funcionando tal y como [la aplicación] se diseñó». Para este experto, la denuncia de Boelter es «de poca importancia».
Sin embargo, según el investigador de la Universidad de Berkeley, WhatsApp «tiene la capacidad de forzar la generación de nuevas claves de cifrado» para los usuarios, algo que, supuestamente, es desconocido por parte del remitente y el destinatario. Por tanto, sería posible un cambio en el cifrado. «Si un organismo gubernamental le pide a WhatsApp que revele sus registros de mensajería, puede darle acceso debido al cambio en las claves», relata Boelter a «The Guardian». Para ello, se necesitaría la colaboración de Facebook, propietaria de la «app».
Sin embargo, Alec Muffett matiza: «Hay una función en WhatsApp que -cuando cambias de teléfono, compras uno nuevo, restableces los datos de fábrica- y después instalas WhatsApp y continúas con una conversación, hace que las claves de cifrado se vuelvan a negociar para adaptarse al nuevo teléfono».
Según detalla a «Gizmondo», supongamos que un emisor envía un mensaje a su receptor, quien tiene el móvil sin batería. Ese mensaje se queda «guardado» en el «smartphone» del emisor, a la espera de poder enviarse, por lo que se vuelve a cifrar. Alec Muffett asegura que se trata de una práctica normal en los sistemas de mensajería cifrados.
Lo curioso es que Muffet no está solo. «Gizmondo» ha recogido también el malestar de otro experto en contra de ese supuesto fallo de seguridad de WhatsApp. Fredric Jacobs, que además de trabajar en Apple fue desarrollador de iOS para Open Whisper Systems, el colectivo que diseñó y mantiene el protocolo de cifrado de Signal, ha declarado a través de su cuenta de Twitter: «Es ridículo que esto se presente como una puerta trasera»
Yago Jesús, experto en seguridad informática y editor del blog «Security by Default», Yago Jesús, se sitúa también en esta misma línea: «Creo que es un ataque muy de laboratorio que tiene cabos sueltos y su practicidad es reducida». En su opinión, el hecho que esta supuesta vulnerabilidad requiera de registrar el número de teléfono de la supuesta víctima en la red reduce su capacidad.
«Creo que el ataque es, con perdón, una tontería supina -añade- porque al cambiar la clave publica del móvil al receptor le aparece una alerta ‘warning’».