El cifrado de WhatsApp o Telegram es inútil

Por Pedro Delgado |

Tras esperar el aclamado cifrado de WhatsApp, vemos que finalmente es inútil. Tanto el cifrado de WhatsApp como el de apps similares parece que no sirven para evitar que nuestras conversaciones sean espiadas por un tercero.

La firma Positive Technologies ha demostrado cómo es posible usar el protocolo SS7 para interceptar conversaciones de apps de mensajería instantánea. Los fallos de seguridad en este parecen venir de años atrás por lo que en realidad no es una novedad.

Los investigadores han conseguido interceptar las conversaciones de apps de mensajería como Facebook Messenger, Viber, Telegram o WhatsApp usando la red móvil. Incluso los SMS pueden ser espiados y precisamente de ahí parte el fallo. Estos han demostrado que es posible suplantar la identidad de cualquier usuario en una conversación al leer sus mensajes de texto, que sirven como verificación para dichas apps.

Imagen - El cifrado de WhatsApp o Telegram es inútil

Esto viene a decirnos que las agencias de espionajes no necesitan ya vulnerar el cifrado que incorporan apps como WhatsApp o Telegram, sino que pueden usar las infraestructuras de los operadores.

De esta forma no es necesario romper el cifrado de las apps de mensajería instantánea. Tan solo basta con hacerse pasar por ellos para enviar y recibir mensajes.

WhatsApp podría haber dejado algunos datos fuera de su cifrado

Hasta que se solucione este problema por parte de todos los operadores la inseguridad que tenemos en apps es bastante relevante. Recordemos que el protocolo SS7 tiene ya más de 40 años y pocas veces se han solucionado los problemas con actualizaciones. Por tanto, de momento estamos conectados a una red móvil vulnerable en todos los sentidos.

Comentarios

Deja tu opinión o comentario. También puedes preguntar cualquier duda en el foro.
  • Telerafa | El 11 May 2016, 01:13
    Telegram incorpora una medida que hace que ese sistema no funcione, la verificación en dos pasos, es decir, aunque se intercepte el SMS de verificación, el atacante necesita conocer la contraseña que ha establecido el usuario. La verificación en dos pasos está en las opciones, si la gente no lo usa es su problema pero no se puede decir que el sistema sea inseguro.