El emisor y el contenido de un mensaje enviado por WhatsApp se puede falsificar

Escrito por Sergio De Luz
Seguridad
0

Estos días ha tenido lugar en Madrid la conocida Rooted CON, un congreso anual donde investigadores de seguridad informática hacen ponencias para comunicar al resto de asistentes sus investigaciones acerca de temas de actualidad. Una de estas conferencias ha sido sobre WhatsApp, el cliente de mensajería instantánea más usado en España y que recientemente Facebook compró.

Los investigadores españoles Pablo San Emeterio y Jaime Sánchez, que el año pasado ya publicaron las vulnerabilidades de WhatsApp y crearon una protección de triple capa para solucionar esos problemas de seguridad, nos traen este año otro fallo más: es posible cambiar el remitente y el contenido a un mensaje enviado por WhatsApp sin dejar rastros. Según estos investigadores españoles, ni siquiera un análisis forense de los dispositivos emisor y receptor podría desvelar este engaño.

Actualmente la seguridad de WhatsApp radica en la generación de cuatro claves para cada sesión, que se forman a partir de una contraseña inicial que se almacena en el propio dispositivo móvil cuando nos damos de alta en el servicio.

whatsapp_foto_inseguro

  • La primera clave cifra los mensajes que van desde el móvil hasta el servidor
  • La segunda clave cifra los mensajes que se envían desde el servidor al móvil.
  • El tercero y cuarto sirve para verificar la autenticidad de los mensajes (que el mensaje lo envía quien dice ser) y su integridad (que el contenido del mensaje no ha sido alterado)

Se ha descubierto que se pueden falsificar sin dejar rastros, ya que al disponer de la clave de validación que se almacena en el terminal, es posible modificar un mensaje antes de que llegue al servidor, de esta forma, a ojos de WhatsApp el mensaje será correcto ya que ha pasado la verificación de autenticidad e integridad.

Esto supone un grave problema ya que un posible atacante podría hacerse pasar por nosotros, de esta forma podría enviar mensajes que en realidad no hemos escrito ni enviado.

Fuente: HojadeRouter