Descubren fallos de seguridad en WhatsApp impropios de una aplicación en pleno 2013

La seguridad (o más bien la falta de ésta) en WhatsApp sigue dando que hablar. En esta ocasión se han reportado dos nuevos fallos en la aplicación de mensajería de cierta gravedad ya que se basan en un problema que se resolvió hace más de 10 años y que sus desarrolladores no han tenido en cuenta.

Es la aplicación de mensajería de referencia en el mercado móvil y una de las más denunciada por fallos de seguridad. WhatsApp ha conseguido ganarse una merecida fama entre los usuarios de todo el mundo por la sencillez de su servicio pero a su vez es criticada por contar con algunas brechas que dejan en el aire la privacidad y la seguridad de quienes la utilizan a diario.

Aunque los últimos dos errores reportados sobre su sistema no son los más graves hallados hasta el momento la noticia está en que se trata de fallos que incomprensiblemente ha adoptado esta plataforma dado que su corrección se produjo mucho antes de que el servicio llegase al mercado. Hace más de una década Microsoft tuvo problemas similares a los que ahora tiene la app de mensajería, por lo que un desarrollador con mínima formación en criptografía debería tener constancia de los mismos. Esto nos da una idea de lo que se ha preocupado WhatsApp por su seguridad y la de sus usuarios.

Los dos fallos descubiertos comparten un mismo problema ya que no utilizan claves distintas para enviar y recibir mensajes. En primer lugar utiliza la misma clave para el algoritmo RC4, que es el encargado de cifrar los mensajes. Para acceder a los mensajes originales bastaría con anular la clave en base a este algoritmo.  Por otro lado, esta misma clave es utilizada par autenticar y verificar los mensajes con el código HMAC (que asegura que el mensaje no ha sido modificado). Puesto que siempre se usa el mismo, un atacante entre el usuario y los servidores de la app podría reproducir el mensaje, eliminarlo o reenviarlo y tanto los usuarios como los servidores no sabrían lo que sucede.

A priori se trata de un problema técnico que muchos usuarios no comprenderán pero evidencia que la compañía descuida algunos detalles de su seguridad de forma difícil de entender. La gran mayoría de los usuarios ignora este tipo de fallos y con ello juega WhatsApp, pero un escándalo de mayores proporciones motivado por uno de estos deslices podría conllevar un problema serio que dañe gravemente tanto la imagen del servicio como la privacidad de quienes lo usan.