Sí, has leído bien, tus conversaciones de WhatsApp podrían «estar en peligro”», pues un nuevo fallo detectado por la firma de seguridad rusa Positive Technologies permitiría saltarse el cifrado end-to-end de la aplicación. Una vulnerabilidad que también afectaría a otras utilidades como Telegram y que tiene que ver con el sistema de señalización por canal común Nro 7 (protocolo SS7) el responsable de que los comentarios enviados a través la app de mensajería pudieran ser interceptados.
A priori, eso sí, resulta imprescindible aportar algunos detalles. Así y para que te hagas una idea, el también conocido como cifrado de extremo a extremo se encuentra basado en el protocolo SS7, precisamente el que tiene problemas. Este se emplea en el establecimiento de llamadas, la traducción de números, y el envío de SMS, entre otros; y desde 1975 (el año en que se desarrolló) no ha experimentado demasiados cambios.
Un método que, teóricamente, garantiza que todas las conversaciones lleven aparejada una clave privada y otra pública; la primera de las cuales sería la única que se compartiría entres los interlocutores; de tal manera que, si bien todos los comentarios pasarían por los servidores de la plataforma, lo harían cifrados (sin que ningún tercero pudiera conocerlos).
Sin embargo, no son pocos los expertos en seguridad que vienen alertando [PDF] desde hace tiempo de posibles agujeros en el protocolo SS7; unos errores que expondrían nuestras charlas y permitirían, a los interesados, espiarnos. Una realidad que acaban de demostrar los especialistas de la citada compañía rusa y que relatan paso a paso y con todo lujo de detalles a través de su página web.
De esta manera, Positive Technologies narra cómo, mediante un portátil Linux, se han conectado al nodo de la red que prestaba servicio al terminal y se han hecho con la conversación entre dos usuarios de WhatsApp (recuerda que no se trata de un problema que tenga que ver con ella exclusivamente, sino con el protocolo). Y lo han logrado de la mano de un fallo que les ha dejado “robar” el SMS de autentificación y suplantar la identidad de los interlocutores.
En todo caso, algunas filtraciones apuntan a que la compañía de mensajería instantánea pretende sustituir este sistema por el registro a través de una cuenta de correo electrónico, asociar nuestra cuenta a Facebook y similares. Otra de las posibles novedades es la inclusión de un código QR para el añadido de nuevos contactos, aunque todavía estamos a la espera de confirmar estas informaciones.
Fuente: Segu Info