La copia de seguridad de WhatsApp se puede usar como "puerta trasera" para el espionaje

Miguel Regueira 29 septiembre 2020, 17:33

Desde hace años la privacidad de WhatsApp está en entredicho, y ahora conocemos nuevos detalles de la forma en que un gobierno podría usar la copia de seguridad para el espionaje, saltándose el cifrado de la aplicación.

Esto refuerza las acusaciones de que WhatsApp crea fallos de seguridad a petición de los gobiernos. Los supuestos errores serían en realidad "puertas traseras" ("backdoors" en inglés) que ayudarían a las agencias de inteligencia a leer las conversaciones de los usuarios.

En este caso, el peligro estaría en las conversaciones cifradas que se suben a Google Drive. Mientras que la clave de cifrado de los mensajes recibidos y enviados solo se encuentra en nuestro móvil, la de Google Drive se almacena en los servidores de WhatsApp.

Es una clave tipo AES-GCM-256, en principio suficientemente fuerte, pero que queda fuera del control del usuario. Los gobiernos, fuerzas de seguridad o jueces pueden exigir a WhatsApp que entregue estas claves, con lo que incumpliría su compromiso de que ni siquiera ellos son capaces de leer las conversaciones de los usuarios.

La ventaja del sistema es clara: cuando instalamos la aplicación en un nuevo móvil, y tras verificar la cuenta mediante un SMS, los servidores de WhatsApp nos mandan la clave. Así puede bajar y abrir la copia de seguridad en la nube, manteniendo las conversaciones, fotos y vídeos anteriores.

Este fallo ha sido denunciando por Crawl_dht, un usuario del popular portal Reddit. Es cierto que para conseguir la copia de Drive también se necesita hackear la cuenta de Google asociada, pero en ciertos casos eso no impedirá el objetivo.

De hecho, hace un tiempo Gmail comenzó a advertir del espionaje gubernamental, prueba de que sabe que el servicio no es infranqueable.

Una forma de evitar esta vulnerabilidad es la que utiliza Signal, una app de mensajería centrada en la privacidad. La clave de cifrado no se guarda en los servidores, solo se facilita al usuario, que debe responsabilizarse de almacenarla para utilizarla cuando la necesite de nuevo en el futuro.

WhatsApp ha salido en su defensa indicando que la copia de seguridad en la nube es opcional, y que deja claro al usuario que no le aplica su cifrado. Por lo tanto, no considera que esta potencial "puerta trasera" sea su responsabilidad.

En conclusión, las dudas sobre la confidencialidad de WhatsApp no paran. Con frecuencia aparecen diferentes vulnerabilidades en su aplicación que lógicamente generan desconfianza sobre si son accidentales o intencionadas.

15 trucos imprescindibles para dominar WhatsApp

Conoce más sobre el equipo de El Grupo Informático y nuestra política editorial.

Ver Comentarios