Auditan la seguridad del protocolo de cifrado WhatsApp, Signal y Allo
Hoy en día es muy común intercambiar todo tipo de información a través de los clientes de mensajería instantánea, a pesar de los peligros que esto supone en la mayoría de los casos. Para evitar que la información caiga en malas manos, es necesario utilizar un cliente de mensajería con un protocolo de cifrado y una gran seguridad que garantice el anonimato de nuestras comunicaciones. Sin embargo, ¿hasta qué punto son estas comunicaciones seguras y privadas?
La empresa Open Whisper Systems, empresa responsable del cliente de mensajería Signal, creó un algoritmo de cifrado, en teoría irrompible, el cual garantiza tanto la seguridad en las conexiones como que la información viaja del emisor al receptor sin la posibilidad de que ningún intermediario pueda acceder a ella. Este algoritmo es el utilizado por las principales empresas de seguridad, como WhatsApp, Google Allo, Facebook Messenger y Cryptocat, entre otros.
Con el fin de comprobar si, efectivamente, este protocolo es realmente seguro, un grupo de profesores de ciencia y criptografía han estado auditando la seguridad de este protocolo, especialmente en el apartado de acuerdo e intercambio de claves entre clientes.
Tal como podemos leer en el informe de la auditoría, estos expertos independientes no han encontrado ninguna debilidad digna de mencionar en el protocolo, garantizando así que la conexión que se establece es totalmente segura y privada, aunque, eso no quiere decir que los clientes de mensajería y los servidores así lo sean.
Código mal documentado, APIs privadas, código privativo y servidores opacos son solo algunos de los problemas que impiden tener una mensajería segura a pesar de utilizar un protocolo de cifrado seguro
Aunque aparentemente estos expertos de seguridad no han encontrado debilidades en el código del protocolo de Open Whisper Systems, sí que indican que durante la auditoría se han encontrado con cosas que nos les han gustado. En primer lugar, el código fuente, aunque es abierto, está muy mal documentado, lo que intensifica los trabajos para auditar el código. Además, el protocolo utiliza técnicas de programación y criptográficas desconocidas y que no son vistas habitualmente, por lo que no sería raro que algo se estuviera pasando por alto.
Además, a todo lo anterior, debemos sumarle uno de los problemas más importantes de todos, y es que en ningún caso sabemos qué pasada de cara al servidor ni qué uso de los datos hace la compañía. Aunque el cliente sea de código abierto, como, por ejemplo, Telegram, los servidores son totalmente opacos, cerrados, y no sabemos qué es lo que pasa al otro lado del cable. Además, en algunos casos, como el de Signal, la API a los servidores está bloqueada, por lo que ningún usuario puede crear clientes alternativos libres y debe pasar, sí o sí, por el aro de Signal. Existen muchos protocolos en Internet, como el caso de HTTP/3 y QUIC.
En cuanto a WhatsApp, Facebook Messenger y Google Allo, mejor ni hablamos, ya que estos no dejan ver ni un byte sobre sus clientes, sus APIS y, mucho menos, sus servidores.
Mientras todo siga siendo tan opaco y cerrado, es imposible garantizar una privacidad total de las telecomunicaciones.
¿Crees que podemos fiar nuestras comunicaciones más privadas a estas empresas, aunque utilicen el protocolo libre y seguro de Open Whisper Systems?